|
CSO角色生变将重新复制CIO的老路从事件反应到主动风险评估,CSO角色有了戏剧性发展。下一个戏码将是:新服务与商业运作智慧(business operations intelligence)。 从事件反应到主动风险评估,CSO角色有了戏剧性发展。下一个戏码将是:新服务与商业运作智慧(business operations intelligence)。 Kent在Genzyme的第一个职务是顾问,后来他到Bolt Beranek and Newman高科技公司任职安全经理。当时Genzyme公司的某些智慧财产遭窃,Kent被要求去做情况评估。他在工作上的优异表现使他后来成为Genzyme的安全总监─该职务主要是专注在组织的安全防护上,防止其它窃盗再发生。 “那时候,我想全公司大约有9种不同的感应卡系统。只有一个人在处理他们的声音、数据与办公服务…等项目。”Kent表示:”这是快速成长企业在组织设计上的典型写照。安全因素完全没有被考虑进去,它往往被认为是比较不紧急、不重要的事项。从我的观点看来,这前景堪虑。” 为了确保不会再有窃盗事件,他的第一个项目是检查实验室与笔记型计算机的周边情况。接着,开始评估大楼的实体安全,并且实施单一卡片方案,以满足多种卡片阅读机的情形。Kent与其小组开始朝向与公司有关的安全标准努力,同时慢慢地克服信息系统中艰困的安全挑战。那是很有展望与前卫的安全理念,对当时的公司而言是从未曾见识过的。 “如果留下各个装置,我们就不会有今天的计划。我们的数据仓储会各自独立分离;组织中必须有一个人去驱动这个东西。” 随着企业的成长,安全议题也越来越被重视。不过是2000年在波士顿举办的国际生物科技大展 (Bio International Exposition)给了Kent这个完美的机会,展现他的部门可以超越事后防护,进而采取主动式安全管理。 “那是继WTO在西雅图举行的会议之后,在东岸的第一个重要会议。Genzyme高级管理阶层成员是波士顿会议的主席。而我们被邀请去协调会议周围的安全措施。当时预计有14,000人将出席此活动,而示威游行群众可能会导致这场会议停止。”Kent说,他跟当地的执法单位,还与可能会被视为示威目标的公司谈了好几个月,强烈地要求他们必须有所准备。一直到活动到来时,Genzyme的安全人员已经与超过80个单位进行协调过,并且与各个不同的组织举行固定会议。 展会开幕的第一天,3,200个示威群众聚集到会场大厅。据Kent表示,他们的表现风平浪静,完全如他的期待。 “什么事都没发生。”他说:”因此,我们有很高的能见度。当不好的事情发生时,你必须是有能力做适切的反应的。那就是他们对我们的印象。” 那事件过了不久以后,Kent被任命为安全副总裁。他认为此升迁代表着”安全小组在CSO模式下正式运作”的里程碑。 除安全以外更多的技能 Kent在Genzyme公司的经历,对全世界所有已决心安置一位最高安全长的组织而言,都十分能感同身受,企业需要一位CSO或CISO为安全担负最关键的责任。10多年来,我们已经见证了这个职务大量增加。但是随着它的需求成长,已雇用CSO的组织对他们的期望也相对提高;当安全计划变得越茁壮、越复杂时,企业对已就任的最高安全长的期待也越多。CSO现在被要求扩大他们的技能选单:有技术背景的人必须了解管理、法规遵循、安全,以及数据中心以外的风险等面向。CSO不只要了解实体安全,还必须熟知信息系统,以及除了组织内部之外,其它可能会带来威胁的外部项目。 最初CSO角色出现在公司时,产业分析师被指望担当这些责任。它的进化很像CIO的改变过程,CSO也有相同的经历。 “当然,CIO经常面对的问题,他们也会互相分享。”史丹佛大学教授Paul Saffo这么表示。他是预测家也是评论家,主要专注于企业长期技术变化与影响的议题。他认为:CIO的工作内容是如此难解,要获得尊重是一大门学问,其它的执行主管永远无法了解或尝试了解。一直要到最近,CIO才正慢慢地告别这个阶段,但CSO仍然身陷其中。 然而,尽管CSO角色的组织观念还在发展过程,但这个工作还是有其过去累积出的历史背景,所以企业在招募人员与雇用经理时,也已经比较清楚他们要的安全执行者是什么样的人,Lenzner集团的CEO Tracy Lenzner这么表示( Lenzner集团是一家为企业招募安全人员的公司)。 “客户的需求越来越复杂。”Lenzner表示:”我们正处于这些角色的第二与第三代。有些公司虽然是第一次在这些领域上着墨,但整体来说,企业在资安上所填补的角色,也就是这些过去有经验的人”。 从高科技专家到营运管理人 很多人认为Katz是史上第一位资安最高主管头衔的人,他在1995年被Citigroup(花旗集团)任用时,开始将信息安全观念彰显出来。Citigroup雇用Katz,是在黑客闯入Citibank的现金管理系统,偷走1,000万美元到他自己的账户之后的事。如此庞大的金额并没有被寻获。这个窃贼把信息安全问题带到Citibank面前,这样的伤害可能会再发生,公司希望有人能把风险降到最低。Katz的CISO头衔是由Citicorp的董事会创设,由前CEO John Reed任命。 “他的观点是:把营运的视野带到信息安全。”Katz表示:”一如Reed所言,『Citicorp卖两样东西:钱和信任』,我们要协助他们在信任的基础上传递安全。” Katz说,他第一年花了很多时间到世界各地与Citi的高阶主管会面。任务是将”安全”重新定义,并且找出保护这家公司所必须要做的事项。他问高阶主管两个问题:”你在办理事情时,你在乎对象是谁吗?你的客户又是何方神圣呢?” “技术议题不是这些问题所关心的部份。”Katz表示:”这两个问题背后所要阐述的观念很简单:『你在意维护信息的机密性与隐私吗?』” Katz现在有自己的顾问公司,持续与CSO与CISO会面,同时提供一些顾问指导。当他提供一些行业建议时,在现今的企业环境下如果想成功,他极力主张任用积极进取的安全专业人员,来增进他们对营运与风险的理解。 “企业对这个角色的期待逐渐地被放在技术、营运与风险上的成就,已超过对于一位安全人员的角色定位。与营运专家合作的要求,可能是安全专家要面对的最大挑战。如果你不善于和组织中管理阶层的人一起工作,那么在这家公司你将会是一个不起眼的小角色。”Katz这么表示。 未来的CSO 想推断CSO角色未来的发展,就要更深度地去观察CIO职位的变化。最近CIO已经从公司早先简单支持的角色,又提升为更高层的管理职(之前CFO在变成捍卫股东利益的战略专家之前,也只是一名会计人员)。Saffo表示,CSO的挑战是,除了他们的核心防御任务之外,必须再找到证实他们效能的方法。接下来,他相信CSO会被要求必须做CIO在过去10年所管理规划的事情;也就是从一个支持或基础建构的角色,转变成一位以企业核心任务为主,提高生产效率与效能的中心角色。 Beth Cannon是旧金山投资银行与交易商Thomas Weisel Partners集团的CSO,她从1999年公司创立时就是公司一员,并于2004年就任CSO。在升职之前,她负责工程与基础架构,包括服务器操作与网络方面的任务。 “我对于法规与网络一直都抱持某个程度的安全考虑。当管理规则开始增加时,CIO便说:『我想我们需要有个人专注在这些事情上』,那就是我的角色之所以会诞生的原因。”她说。 5年之后,这个角色明显地改变了,Cannon表示。公司开始做跨国生意,而Cannon除了美国的法规之外,还得学习几个其它国家的规范。该公司同时于2006年股票上市。 “刚开始,这个工作很着重在操作与信息安全方面,我们必须加快修补更新的速度,我们的网络活动必须一一被纪录下来。”她说:”为了更妥善地掌控网络之外发生的事,我们必须有几个适当的措施。” 据Cannon表示,现在她觉得在她刚就任时,所设置的许多防护措施已变成操作面的工作。那些当初必须被处理的事情,现在只是例行处理的事务。那给了她一个机会,花了更多的时间为安全寻找方法,而不只是保护措施而已,更重要的是为组织提升价值。现在她的工作的主要重点,是放在企业的持续经营,她说:”最近的新流感疫情,让我可以把最关切的议题呈现到高阶主管面前。” Cannon强调:”现在,我试图站出来说,『这不只是技术问题』,让我们来谈谈你打算如何管理你的工作人员。” 另一个重点是数据的分级分类。Cannon说,她希望她的付出,未来能够让安全在管理桌上占有一席,就像她证实,她的部门为公司未来的规范与管理规则上所作的努力有其价值。她已经渐渐地推翻以往大家认为安全只是个花钱单位的观感,证明它对企业未来任务的重要性。 就像社交网站与其它Web 2.0应用程序,已经结合了现有平台,为使用者创造了彼此沟通的新方法一样,CSO也必须将几个营运观点进行整合,以求更有效的风险评估,以及与经营管理部门进行有效的沟通,这是Eric Domage在最近的一个风险管理研讨会中,发表有关CSO 2.0未来责任的观点。他是IDC主要负责西欧地区的信息安全分析人员。 个人技能与沟通技能是CSO 2.0最重要的要求(这一点被反应在”CSO大调查”长年的调查结果中:2003年的响应者指出,沟通是最重要的成功技能)。尽管许多的安全总监在组织中,只要把注意力集中在安全的部份,只花很少的精力在其它地方或沟通上,但现在他们将被要求要与整个公司的其它人协同工作。 据Caterpillar公司的全球安全总长Tim Williams的说法,没有这个能力的人不会有将来。该公司是全球最大的建筑设备、采矿设备、柴油引擎、天然气引擎,以及工业燃气轮机的制造商。Williams把环境的变迁比喻为”抢椅子游戏”。 他表示:”音乐一停下来,今天有能力坐到椅子的人,未来就是拥有商业内涵与前景的人。” Williams担任安全专家职务已有几十年经验,他曾经在Proctor & Gamble、 Boise Cascade造纸公司与Nortel服务过,并任职于ASIS International较长的时间,5年前该机构是第一个将CSO组合起来,给予正式定义的机构。现在,Williams把这个角色定义为”企业安全风险管理”的其中一项。 “CSO已将产业与文化结合成一个具凝聚力的策略,他们产生的作用,很可能带领他们安然走过这一波经济衰退期。”Williams表示:”他们有本事解释安全的程序为何、将它与营运连结,并且显现其价值。” Williams相信,未来CSO不仅须要能够与其它单位的同仁一起坐下来协商,并且还应具备风险管理的知识。对于工作中有牵涉到企业风险的部份,将它们放到商业内涵中,预期所应产生的经济作用,以及风险事件发生的频率或可能性。同时,他特别强调,有战斗力的安全领导人与团队协作的必要性。从Caterpillar的经历可知,他把他的成功归功于安全部门成员之间活络的互动。 Williams同意,新时代的CSO必须是身兼管理与安全技能的专家。但是,CSO如何把风险脉络放到营运中,既是一门艺术,也是一项科学,那是每个CSO需要控制以获取尊重的课题,就像Saffo前面所提到的。那意味着,CSO除了风险以外,还必须彻底了解一家企业的产品线与经济驱动力,而这也很可能代表他们必须知道,如何在有限的资源内投入案子。Williams相信,未来持有MBA学位的安全执行者将持续增加。 “你如何花你企业的钱、得到那些开销产出的结果,并应付其所带来的风险,都必须要有出一套具凝聚力、清楚且容易理解的策略。” Williams表示:”以后CSO的压力将落在如何利用严谨的逻辑,紧密地捍卫与提出预算。而我们最好赶快拥有这些重要的技能,否则日后可能会陷入困境。” 那么谁是真正拥有那些必备技能的人呢? 到Genzyme的大厅走一遭,也许可以提供你一些端倪。前阵子CSO在做技能巡礼,所以有机会看到Kent精采绝伦的计划,他以”全灾害”的风险检视的方式,处理该公司的安全问题。它包括了一项令人印象深刻的监控室,工作人员在里面评估企业的实时潜在风险,检查从世界各地来的数据。 这种整体检视没有被限制于地下楼的操作中心。今年年初,Genzyme将安全、风险管理、具竞争力的技术型智财,在特定的范围内进行整合,并且将Kent的头衔改为全球风险与营运资源副总裁。从他早期在公司担任安全专家被要求处理负面事件,到现在他与公司的其它高阶主管坐在同一个会议桌上,讨论安全策略与风险管理,那是极大的转变。 这个团队未来能够证明,他们不仅可以处理事件,也能够增进其能力以提供企业商业智慧,这一点他很乐观。 “我们正在努力将团队之间的协同合作发挥到最大。”Kent表示:”这个有趣的工作将发现新的连结,并且建立起它产生的服务,尽管我们现在还不清楚那会是什么。” 责编:赵恒 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|