CSO角色生变将重新复制CIO的老路

  作者:Khyber
2009/11/17 10:49:05
从事件反应到主动风险评估,CSO角色有了戏剧性发展。下一个戏码将是:新服务与商业运作智慧(business operations intelligence)。 

本文关键字: CSO 网络安全

从事件反应到主动风险评估,CSO角色有了戏剧性发展。下一个戏码将是:新服务与商业运作智慧(business operations intelligence)。

David Kent到Genzyme生技公司服务已将近15年,该公司主要是发展疾病的医学治疗,像是某种遗传疾病与某些类型的癌症,总公司位于美国麻州剑桥市。1994年,这家公司的销售额还低于2亿美元,员工人数也只有大约1,000人;这与2008年报告的11,000人,以及46亿美元的营收数字报告,形成强烈的对比。

Kent在Genzyme的第一个职务是顾问,后来他到Bolt Beranek and Newman高科技公司任职安全经理。当时Genzyme公司的某些智慧财产遭窃,Kent被要求去做情况评估。他在工作上的优异表现使他后来成为Genzyme的安全总监─该职务主要是专注在组织的安全防护上,防止其它窃盗再发生。

“那时候,我想全公司大约有9种不同的感应卡系统。只有一个人在处理他们的声音、数据与办公服务…等项目。”Kent表示:”这是快速成长企业在组织设计上的典型写照。安全因素完全没有被考虑进去,它往往被认为是比较不紧急、不重要的事项。从我的观点看来,这前景堪虑。”

为了确保不会再有窃盗事件,他的第一个项目是检查实验室与笔记型计算机的周边情况。接着,开始评估大楼的实体安全,并且实施单一卡片方案,以满足多种卡片阅读机的情形。Kent与其小组开始朝向与公司有关的安全标准努力,同时慢慢地克服信息系统中艰困的安全挑战。那是很有展望与前卫的安全理念,对当时的公司而言是从未曾见识过的。

“如果留下各个装置,我们就不会有今天的计划。我们的数据仓储会各自独立分离;组织中必须有一个人去驱动这个东西。”

随着企业的成长,安全议题也越来越被重视。不过是2000年在波士顿举办的国际生物科技大展 (Bio International Exposition)给了Kent这个完美的机会,展现他的部门可以超越事后防护,进而采取主动式安全管理。

“那是继WTO在西雅图举行的会议之后,在东岸的第一个重要会议。Genzyme高级管理阶层成员是波士顿会议的主席。而我们被邀请去协调会议周围的安全措施。当时预计有14,000人将出席此活动,而示威游行群众可能会导致这场会议停止。”Kent说,他跟当地的执法单位,还与可能会被视为示威目标的公司谈了好几个月,强烈地要求他们必须有所准备。一直到活动到来时,Genzyme的安全人员已经与超过80个单位进行协调过,并且与各个不同的组织举行固定会议。

展会开幕的第一天,3,200个示威群众聚集到会场大厅。据Kent表示,他们的表现风平浪静,完全如他的期待。

“什么事都没发生。”他说:”因此,我们有很高的能见度。当不好的事情发生时,你必须是有能力做适切的反应的。那就是他们对我们的印象。”

那事件过了不久以后,Kent被任命为安全副总裁。他认为此升迁代表着”安全小组在CSO模式下正式运作”的里程碑。

除安全以外更多的技能

Kent在Genzyme公司的经历,对全世界所有已决心安置一位最高安全长的组织而言,都十分能感同身受,企业需要一位CSO或CISO为安全担负最关键的责任。10多年来,我们已经见证了这个职务大量增加。但是随着它的需求成长,已雇用CSO的组织对他们的期望也相对提高;当安全计划变得越茁壮、越复杂时,企业对已就任的最高安全长的期待也越多。CSO现在被要求扩大他们的技能选单:有技术背景的人必须了解管理、法规遵循、安全,以及数据中心以外的风险等面向。CSO不只要了解实体安全,还必须熟知信息系统,以及除了组织内部之外,其它可能会带来威胁的外部项目。

最初CSO角色出现在公司时,产业分析师被指望担当这些责任。它的进化很像CIO的改变过程,CSO也有相同的经历。

“当然,CIO经常面对的问题,他们也会互相分享。”史丹佛大学教授Paul Saffo这么表示。他是预测家也是评论家,主要专注于企业长期技术变化与影响的议题。他认为:CIO的工作内容是如此难解,要获得尊重是一大门学问,其它的执行主管永远无法了解或尝试了解。一直要到最近,CIO才正慢慢地告别这个阶段,但CSO仍然身陷其中。

然而,尽管CSO角色的组织观念还在发展过程,但这个工作还是有其过去累积出的历史背景,所以企业在招募人员与雇用经理时,也已经比较清楚他们要的安全执行者是什么样的人,Lenzner集团的CEO Tracy Lenzner这么表示( Lenzner集团是一家为企业招募安全人员的公司)。

“客户的需求越来越复杂。”Lenzner表示:”我们正处于这些角色的第二与第三代。有些公司虽然是第一次在这些领域上着墨,但整体来说,企业在资安上所填补的角色,也就是这些过去有经验的人”。

从高科技专家到营运管理人

很多人认为Katz是史上第一位资安最高主管头衔的人,他在1995年被Citigroup(花旗集团)任用时,开始将信息安全观念彰显出来。Citigroup雇用Katz,是在黑客闯入Citibank的现金管理系统,偷走1,000万美元到他自己的账户之后的事。如此庞大的金额并没有被寻获。这个窃贼把信息安全问题带到Citibank面前,这样的伤害可能会再发生,公司希望有人能把风险降到最低。Katz的CISO头衔是由Citicorp的董事会创设,由前CEO John Reed任命。

“他的观点是:把营运的视野带到信息安全。”Katz表示:”一如Reed所言,『Citicorp卖两样东西:钱和信任』,我们要协助他们在信任的基础上传递安全。”

Katz说,他第一年花了很多时间到世界各地与Citi的高阶主管会面。任务是将”安全”重新定义,并且找出保护这家公司所必须要做的事项。他问高阶主管两个问题:”你在办理事情时,你在乎对象是谁吗?你的客户又是何方神圣呢?”

“技术议题不是这些问题所关心的部份。”Katz表示:”这两个问题背后所要阐述的观念很简单:『你在意维护信息的机密性与隐私吗?』”
接着,Katz开始将身分识别的观念带进来,那些企业主管开始边点头边说,”是啊,有道理。”Katz表示。

Katz现在有自己的顾问公司,持续与CSO与CISO会面,同时提供一些顾问指导。当他提供一些行业建议时,在现今的企业环境下如果想成功,他极力主张任用积极进取的安全专业人员,来增进他们对营运与风险的理解。

“企业对这个角色的期待逐渐地被放在技术、营运与风险上的成就,已超过对于一位安全人员的角色定位。与营运专家合作的要求,可能是安全专家要面对的最大挑战。如果你不善于和组织中管理阶层的人一起工作,那么在这家公司你将会是一个不起眼的小角色。”Katz这么表示。

未来的CSO

想推断CSO角色未来的发展,就要更深度地去观察CIO职位的变化。最近CIO已经从公司早先简单支持的角色,又提升为更高层的管理职(之前CFO在变成捍卫股东利益的战略专家之前,也只是一名会计人员)。Saffo表示,CSO的挑战是,除了他们的核心防御任务之外,必须再找到证实他们效能的方法。接下来,他相信CSO会被要求必须做CIO在过去10年所管理规划的事情;也就是从一个支持或基础建构的角色,转变成一位以企业核心任务为主,提高生产效率与效能的中心角色。

Beth Cannon是旧金山投资银行与交易商Thomas Weisel Partners集团的CSO,她从1999年公司创立时就是公司一员,并于2004年就任CSO。在升职之前,她负责工程与基础架构,包括服务器操作与网络方面的任务。

“我对于法规与网络一直都抱持某个程度的安全考虑。当管理规则开始增加时,CIO便说:『我想我们需要有个人专注在这些事情上』,那就是我的角色之所以会诞生的原因。”她说。

5年之后,这个角色明显地改变了,Cannon表示。公司开始做跨国生意,而Cannon除了美国的法规之外,还得学习几个其它国家的规范。该公司同时于2006年股票上市。

“刚开始,这个工作很着重在操作与信息安全方面,我们必须加快修补更新的速度,我们的网络活动必须一一被纪录下来。”她说:”为了更妥善地掌控网络之外发生的事,我们必须有几个适当的措施。”

据Cannon表示,现在她觉得在她刚就任时,所设置的许多防护措施已变成操作面的工作。那些当初必须被处理的事情,现在只是例行处理的事务。那给了她一个机会,花了更多的时间为安全寻找方法,而不只是保护措施而已,更重要的是为组织提升价值。现在她的工作的主要重点,是放在企业的持续经营,她说:”最近的新流感疫情,让我可以把最关切的议题呈现到高阶主管面前。”

Cannon强调:”现在,我试图站出来说,『这不只是技术问题』,让我们来谈谈你打算如何管理你的工作人员。”

另一个重点是数据的分级分类。Cannon说,她希望她的付出,未来能够让安全在管理桌上占有一席,就像她证实,她的部门为公司未来的规范与管理规则上所作的努力有其价值。她已经渐渐地推翻以往大家认为安全只是个花钱单位的观感,证明它对企业未来任务的重要性。

就像社交网站与其它Web 2.0应用程序,已经结合了现有平台,为使用者创造了彼此沟通的新方法一样,CSO也必须将几个营运观点进行整合,以求更有效的风险评估,以及与经营管理部门进行有效的沟通,这是Eric Domage在最近的一个风险管理研讨会中,发表有关CSO 2.0未来责任的观点。他是IDC主要负责西欧地区的信息安全分析人员。

个人技能与沟通技能是CSO 2.0最重要的要求(这一点被反应在”CSO大调查”长年的调查结果中:2003年的响应者指出,沟通是最重要的成功技能)。尽管许多的安全总监在组织中,只要把注意力集中在安全的部份,只花很少的精力在其它地方或沟通上,但现在他们将被要求要与整个公司的其它人协同工作。

据Caterpillar公司的全球安全总长Tim Williams的说法,没有这个能力的人不会有将来。该公司是全球最大的建筑设备、采矿设备、柴油引擎、天然气引擎,以及工业燃气轮机的制造商。Williams把环境的变迁比喻为”抢椅子游戏”。

他表示:”音乐一停下来,今天有能力坐到椅子的人,未来就是拥有商业内涵与前景的人。”

Williams担任安全专家职务已有几十年经验,他曾经在Proctor & Gamble、 Boise Cascade造纸公司与Nortel服务过,并任职于ASIS International较长的时间,5年前该机构是第一个将CSO组合起来,给予正式定义的机构。现在,Williams把这个角色定义为”企业安全风险管理”的其中一项。

“CSO已将产业与文化结合成一个具凝聚力的策略,他们产生的作用,很可能带领他们安然走过这一波经济衰退期。”Williams表示:”他们有本事解释安全的程序为何、将它与营运连结,并且显现其价值。”

Williams相信,未来CSO不仅须要能够与其它单位的同仁一起坐下来协商,并且还应具备风险管理的知识。对于工作中有牵涉到企业风险的部份,将它们放到商业内涵中,预期所应产生的经济作用,以及风险事件发生的频率或可能性。同时,他特别强调,有战斗力的安全领导人与团队协作的必要性。从Caterpillar的经历可知,他把他的成功归功于安全部门成员之间活络的互动。

Williams同意,新时代的CSO必须是身兼管理与安全技能的专家。但是,CSO如何把风险脉络放到营运中,既是一门艺术,也是一项科学,那是每个CSO需要控制以获取尊重的课题,就像Saffo前面所提到的。那意味着,CSO除了风险以外,还必须彻底了解一家企业的产品线与经济驱动力,而这也很可能代表他们必须知道,如何在有限的资源内投入案子。Williams相信,未来持有MBA学位的安全执行者将持续增加。

“你如何花你企业的钱、得到那些开销产出的结果,并应付其所带来的风险,都必须要有出一套具凝聚力、清楚且容易理解的策略。”

Williams表示:”以后CSO的压力将落在如何利用严谨的逻辑,紧密地捍卫与提出预算。而我们最好赶快拥有这些重要的技能,否则日后可能会陷入困境。”

那么谁是真正拥有那些必备技能的人呢? 到Genzyme的大厅走一遭,也许可以提供你一些端倪。前阵子CSO在做技能巡礼,所以有机会看到Kent精采绝伦的计划,他以”全灾害”的风险检视的方式,处理该公司的安全问题。它包括了一项令人印象深刻的监控室,工作人员在里面评估企业的实时潜在风险,检查从世界各地来的数据。

这种整体检视没有被限制于地下楼的操作中心。今年年初,Genzyme将安全、风险管理、具竞争力的技术型智财,在特定的范围内进行整合,并且将Kent的头衔改为全球风险与营运资源副总裁。从他早期在公司担任安全专家被要求处理负面事件,到现在他与公司的其它高阶主管坐在同一个会议桌上,讨论安全策略与风险管理,那是极大的转变。

这个团队未来能够证明,他们不仅可以处理事件,也能够增进其能力以提供企业商业智慧,这一点他很乐观。

“我们正在努力将团队之间的协同合作发挥到最大。”Kent表示:”这个有趣的工作将发现新的连结,并且建立起它产生的服务,尽管我们现在还不清楚那会是什么。”

责编:赵恒
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map