这些迹象帮助你发现和缓解CIO-CISO之间的紧张关系

考虑到竞争压力和优先事项，CIO和CISO之间经常会出现分歧。你需要了解紧张局势发生在哪些方面，以及你的合作伙伴对于维持富有成效的伙伴关系是至关重要的。

CREDIT: ABOUTLIFE / SHUTTERSTOCK

CIO和CISO身处在高压力环境中，有时这会给他们的关系带来额外的压力，进一步分散他们对实现有益成果的注意力。

缓和局势，使双方关系变得可行、健康且相互尊重，这可能是具有挑战性的，特别是对于经常向CIO报告的CISO而言。这需要了解对方角色的压力和优先事项，以及你的合作伙伴的运作方式。

双方关系已经成熟到会出现摩擦的程度

要理解CIO和CISO之间为何会存在自然摩擦，必须考虑各自的压力和优先事项。

CIO的角色涉及到很多方面，所有这些活动都需要高管层和董事会的高度关注，他们希望CIO是处于IT议程的首位。

而且这个议程——也是CIO存在的理由——是通过采用技术来实现业务转型和增长的。整个公司的主要利益相关者都要求通过这些平台提供技术驱动的变革和积极的客户体验，而对CIO的评判标准不仅在于他们提供这些新的数字解决方案的能力，还在于他们是否有能力防止运营流程受到故障或者服务中断的影响。

与此同时，CISO的职责是保护企业免受外部威胁。是的，CIO也关心这一点，但在涉及保护企业安全所需的权衡时，他们也面临着来自业务利益相关者的压力。

这些权衡是与CISO职权范围相交叉的关键点，凸显了双方优先事项的冲突。随着时间的推移，这种情况——以及处理和解决方式——可能会导致双方之间产生真正的摩擦，这种摩擦可能是公开的，在公共场合激化，也可能是隐蔽的，对其他同事或CIO/CISO本身是更为隐蔽的。

CIO和CISO之间常见的压力点

每个成熟的企业都必须暂时性地接受风险，随后再补救。漏洞修补就是CIO和CISO之间可能出现紧张关系的一个例子。

如果高度严重的漏洞已被外部利用，CISO则希望立即打补丁，CIO可能也认同这种紧迫性。但对于中等级别的补丁，CIO可能会面临着延缓对生产系统的压力，可能会要求CISO等待一周甚至几个月才能打补丁。

在影响数字客户体验的计划方面，也存在同样的压力。例如，新的多因素身份验证功能需要新的客户通信方式，而且可能会给渠道带来短期影响，这对于企业来说可能是难以接受的。

或者，CIO和工程团队可能会与业务部门合作，通过API平台打造新的客户功能。从CISO的角度来看，必须正确管理这些API，甚至进行渗透测试，以确保不会造成意外的数据丢失。CISO希望应用更多控制措施，但CIO在原则上同意的同时，还必须通过确保功能交付（通常是在短时间内）来满足利益相关者的要求。

另一个造成双方关系紧张的方面是事件管理。当发生严重的网络或业务中断事件时，CISO可以发挥领导作用，通常是分享坏消息的“信使”。自然地，CIO希望立即得到通知，但细节往往很少，有许多未知因素，这可能会让CISO在CIO看来很糟糕，因为在这个早期阶段，问题往往多于答案。

第五个例子是DevOps，因为很多CIO都提倡快速持续交付。遗憾的是，没有那么多CIO提倡在流程中嵌入网络安全测试，可能是因为CIO经常受到来自高管层利益相关者的压力，要求发布新的软件版本，因此接受如果不完美可能需要进行一些迭代的风险。与此同时，没有多少CISO具有软件开发的背景，因此通常不愿意参与和挑战这一过程。

不同的CIO和CISO原型如何参与

上述摩擦领域与CIO和CISO的个性无关，而相互不兼容的问题，可能会给双方关系带来进一步的压力。

CIO和CISO很可能是通过不同的职业道路到达自己现在这个职位上的，可能有不同的工作方法，其中一些原型自然可以更好地协同工作，而另一些则可能会发生冲突。

CIO和CISO原型

建议要考虑对方是如何运作的，他们的自然风格是什么，以及你如何以不同的方式处理潜在的压力点。例如，企业CIO或者合作伙伴CIO会很重视利益相关者的参与，将其视为成功的关键。如果与技术CISO或转型CISO相互搭配的话，可能会出现一些方法不匹配的情况。

如何应对紧张情绪

如果CIO和CISO关系紧张，或者认识到你们的方法存在天然分歧，那么CIO和CISO必须承认这一问题，想想如何调和双方的分歧，这一点很重要。

在这种情况下，最好坐下来讨论如何以相互尊重的方式展开合作，并牢记业务目标，其中一些建议考虑的原则包括：

• 采取公司第一的态度。
• 了解所有拟议行动的商业利益。
• 以事实为导向。
• 保持透明和诚实，但绝不冒犯。
• 寻求双赢。

如果双方都不致力于实现变革，这种方法可能就是行不通的。如果是这种情况，那么可能需要进行重置，聘请第三方或独立导师来帮助促进这种关系。希望在这个重置的过程中可以进行一些小的挑战，而不是任何一方或双方都放弃和走开。

适当的紧张情绪对于CIO和CISO的日常工作是有好处的。但必须对此进行管理，以免冲突蔓延而造成非生产性局面，这对双方来说都是双输的，对整个企业来说也不是一个好的结果。