DoSECU 安全分析 4月1日消息:当你初次来到Baker Hughe公司开始工作时,你为安全设定的目标是什么呢?我首次来到Baker Hughe公司,发现他们有一个负责安全的部门来支持公司的运营。这是一个传统的企业安全部门,部门的人员工作都不饱和,由此推断公司并没有把我们的技术落实到位。
我们无法正确衡量安全人员的职能,因为企业的正常运营通常不会和安全部门发生联系。最重要的是,我注意到企业的员工都在各行其是。我认为这看起来不像一个团队。
我认为我们需要做的是建立一个与企业更加密切的安全团队。作为公司的首席安全官,我认为应该在整个公司内部普及安全意识。同时让让安全人员意识到:他们应用的是什么技术?他们应该如何发展?如何对工作进行分配?
我还想在公司内部建立安全方针的实施标准。举例来说,如果你去埃及,我们的安全计划就和你去委内瑞拉有所不同。我认为我们可能要树立员工对公司更高的责任感,要知道如果安全计划没有正确实施而且没有人真正进行监督,后果会多么可怕。
企业首先要迈出的第一步是什么呢?我和其他部门的员工进行了讨论并得出了新的领导方案。我发现在运营部门的某些员工都缺乏足够的知情权,因为企业的主要负责人没有经常和他们进行互动和沟通。如果他们需要更多的专业经验来应对安全挑战时,他们会感觉无处下手。
因此我们制定了企业安全指导方针,这个方针描绘了Baker Hughe公司全球安全运作的框架。这样当你去国家A或者国家B时,计划中的安全内容都是非常类似的。不过由于习惯或者利润率的差异,他们执行和实施安全指导方针的措施可能会有一些不同。
你该如何将安全指导方针的框架加以完善呢?你可以在所有的地点都设置相同的安全协议。而我们马上面临的问题是:我们该如何发现风险?在某些国家,我问一些安全员工"你为什么要用这种方法去做呢?你为什么要这样去执行安全计划呢?"我从来没有得到过满意的答案。原因很简单:他们总是这样回答"我们一直都是这样做的"。
企业安全会涉及物理位置和IT安全之间的统一吗?在我第一次担任公司首席安全官时,IT安全并不是安全职责的组成部分。我在面试这份工作时,向公司的首席执行官和董事会解释了首席安全官的概念和将安全与企业利益结合在一起的理论依据。我说"作为一名首席安全官,我会对整个公司的安全产生影响。我不必让他们都为我工作,但是我想要影响他们"。
我还指出IT安全对企业的知识产权保护和系统访问都有着重大的影响。企业中从总裁到首席安全官到普通员工,我认为都应该是组成安全屏障的元素。
举例来说,如果我们公司要和Exxon Mobile公司签订一份合同。他们会要求我们提供Baker Hughes公司所能提供的服务。在公司的历史上,安全还没有提上议题。在合同签署以后,他们会跟我们说"我们刚刚和Exxon Mobile公司签署合同,他们在非洲丛林中部有6个政府项目我们需要你们去部署安全措施来避免我们的员工受到伤害"。此时我们才能告诉他们安全运营在这种地方会花费多少钱。由此安全成为令企业头疼的难题。
如今我们事先在系统中建立了预警机制,我们会提前假设安全状况并告诉他们"这是我们认为在这种地方进行安全管理会产生的成本"当合同还在洽谈阶段我们就会把这些因素考虑在内。而不是在后期计算利润时才考虑到安全支出的问题。
我们的团队知道Baker Hughes不是一家安全公司。我们的目标不是拥有一个完美的安全计划,而是能操作安全项目的最佳员工,他们能正确的对企业风险进行管理。
Baker Hughes在94个国家都有业务。在目前萧条的经济形势下,我认为将更多的管理技巧与良好的安全技能结合起来是最好的方式。随着风险的日益加剧,我们要比以往更加注重风险的可控性。安全必须经过非常缜密的分析来对风险做出更深入的剖析。
