从安全顾问到首席安全官 看角色的演变

  距David Kent首次来到Genzyme公司,已经过去15年了。Genzyme是一家生物科技公司,总部设在马萨诸塞州的Cambridge,主要从事疾病医疗的研发,如某些遗传性疾病和某些癌症。1994年,该公司的销售额还不到两亿美元,而且只有约1000名员工。与之形成鲜明对比的是,该公司目前全球的员工为11000人,2008年的收入达到46亿美元。

  Kent在Genzyme公司的一次工作经历是作为一名安全顾问。因为资料被盗窃,该公司已失去了一些自己的知识产权,所以他们找到Kent,希望他能帮助他们评估公司的安全状况。当时Kent在Bolt Beranek and Newman公司工作,职务是安全经理。当Kent在Genzyme公司工作一段时间后,他被Genzyme公司直接挖了过来,担任该公司的安全主任。Genzyme公司之所以做出这个决定,其目的是 让那些有大量安全工作经验、关注公司安全形势的人担任这一职务,从而防止公司的秘密信息再次被盗窃。

  “当时,我估计公司里面大约有9种不同的电子卡接入系统,只有一个人负责处理的公司员工的语音、数据以及他们的办公室服务。”Kent说,“这种公司机构的设计反映了这是一家快速成长的企业,但是并没有考虑到在安全方面的投入,公司并不重视这一块。在我看来,自己在这个公司并不会有太大的作为,因为公司在安全方面的投资太少。”

  他的第一个项目是评估实验室和笔记本电脑周围的安全状况,以确保不会再次发生盗窃事件。在此之后,他被安排去做公司建筑的物理安全评估工作,之后着手解决了多种读卡器方案所带来的问题,在全公司内规定只实施一种电子卡的解决方案。随后,Kent和他的团队开始在公司推动安全标准的建设,同时也逐渐地应对了一些在信息系统安全的挑战。这些工作给公司带来了一个开拓进取性、具有前瞻性的安全理念,而在此之前是从未曾有过的。

  “如果没有自己的设备,我们就不会有我们今天的计划。我们本可以有单独发射井,但必须有专门的人在公司内部推动这些设备的建设。”

  随着公司的成长,决策层和各级员工也更加重视安全。但却是2000年在波士顿举行的国际生物博览会让Kent了一个重新认识公司安全策略的绝好机会,他认为当时已有实力突破公司现有的被动防御局限,转而实施更加主动的安全策略。

  “这是在西雅图举办了世贸组织会议之后,东海岸的第一次重大会议。Genzyme的高级管理们作为主席参加了这次在波士顿举办的会议。我的团队被主办方要求协调会场的安全。预计将有1.4万人参加这次博览会,会场外还有一些示威者,不对他们引起重视恐怕会严重影响博览会的进行。”Kent说,博览会前的几个月,他一直在和当地的执法机构沟通,并警告其他参展的公司,敦促他们做好安全方面的准备工作,免得成为示威者攻击的目标。当博览会开始时, Genzyme公司的安全官员协调了80多家公司机构的安全工作,并与多个组织就安全问题进行了一些常规的会议。

  博览会开幕的当天,3200名示威者来到了会场大厅前。据Kent后来回忆,他们的存在已经不会对博览会带了多大的影响了,因为这是在博览会开始之前就已经预料到的事情。

  “什么事情都没有发生,”他说。 “因此,我们获得人们广泛的赞誉,名声大震。当不好的事情发生时,你必须有能力做出最好的回应,而这些都是博览会组织者已经事先意识的问题。”

  在那次博览会结束后不久,Kent就被提拔为公司安全方面的副总裁。Kent表示,这次升迁标志着安全部门的运作正式进入首席安全官(CSO)模式。

  除了安全,还必须具备的技能

  Kent在Genzyme的这些工作经历,与世界各地的其他一些组织颇为相识,这些组织已决定建立一个专门的职位,如高级安全官员、首席安全官或首席信息安全官(CISO),重点负责公司的安全事务。在过去10年,越来越多的公司开始设置这一职位,但是随着这一职位数目的增加,那些雇佣了首席安全官的公司组织对他们的期望也越来越多。随着安全软件变得日益强大和成熟,拥有高级安全人员的公司对他们的期望更是有增无减。公司期望首席安全官能具备其他的一些技能:除了数据中心方面的知识,拥有技术背景的安全从业人员还必须理解法规、安全和风险。一些事关人生安全的部门(如执法机构或军队)的首席安全官们除了对硬件设施以外,还必须了解信息系统和他们所在组织的数据资产可能会遭到的威胁。

  这是在各大公司第一次出现首席安全官这一职位以后,业界希望看到的变化。就像CIO的作用已经发生的改变一样,人们对首席安全官期望的变化也是不可避免的。

  Paul Saffo是斯坦福大学的一位教授,同时也是一名预言家兼评论家,重点关注技术长期变化及其对业务带来的影响。他表示,“当然,CSO们也面临着CIO们过去曾面临的相同问题。首席信息官一直是管理层里面的罗德尼·丹戈菲兹(Rodney Dangerfields),’我得不到任何尊重‘,因为他们的工作是如此的令人费解,其他的公司高层人士不理解,甚至不愿意去尝试理解CIO的工作,一直到最近这一情况才有所改观。虽然CIO们花了很长时间才渡过了这一阶段,但我认为首席安全官同样能够达到这一点。”

  Lenzner集团是一家替其他企业招聘安全人士的公司,该集团的首席执行官Tracy Lenzner表示,尽管企业对首席安全官所起的作用期望甚高,但这项工作因为有一定的历史原因,所以从事招募的人员和招聘经理正变得越来越精明,更加清楚的知道他们需要从一个安全人员身上找到公司所期望的特质。

  “客户正在变得更加成熟,他们知道正在寻找什么和需要什么,” Lenzner表示,“现在我们招募的都是第二代和第三代CSO了。一些公司是第一次在这些领域招聘人员,但是,总的来说,企业希望招到以前曾做过这方面工作的安全人员。”

  从技术人员到企业高管

  Steve Katz认为,早期的信息安全专业人员给人的印象有两点。他说,“他们的技术水平高,并且经常说不。”

  Katz被很多人视为有史以来的第一位首席信息安全官,他从1995年被花旗银行(现为花旗集团)聘请,从那时起他开始向人们揭示一些有关信息安全的概念。花旗银行曾遭到过黑客的攻击,黑客闯入该银行的现金管理系统,从系统中抽走一千万美元到自己的账户上。在这之后,花旗银行雇用了Katz,但被盗走的大部分的钱已经没办法追回。这次盗窃事件使花旗银行意识到了对信息安全的重视已迫在眉睫,该公司希望通过雇佣某个人能够尽量减少类似盗窃事件再次发生的风险。Katz的CISO职位是由花旗集团的董事会创建的,当时的首席执行官是John Reed。

  “John Reed的观点是:我们需要从一个企业的角度来看待信息安全,”Katz说,“Reed曾说过,’花旗只出售两件东西:金钱和信任‘。至于安全,就由我们来帮助他们实现信任这一公司业务的组成部分。”

  Katz表示,在花旗的第一年,他花了大量的时间,同全世界所有花旗集团的管理人员进行会谈。他的任务是引起集团内部对安全问题的重视,并找出需要做些什么才能更好的保护公司不受攻击。他询问管理人员,“你关心你进行交易的对象是谁吗?谁是你的顾客?”

  “技术并不是借口,” Katz说,“这是一个很简单的道理,’你对客户信息的保密工作关心吗?”

  随后,Katz开始引入的一些概念(如身份验证),Katz说,当公司的官员听了之后“不住的点头,并说,‘是啊,这确实有道理。’”。

  Katz现在经营着自己的顾问公司,继续与CSO和CISO们进行交流,并对他们进行了一些指导。当他给CSO们提供职业生涯建议时,他敦促到,如果安全专业人士想在今天的企业环境内获得成功的话,那么他们应该努力提高自己对业务和风险的理解。

  “CISO所起的作用越来越转向是否能对技术和商业风险作出较大的贡献,而不仅仅是过去被认为的只安全方面发挥作用。企业要求CISO能与公司业务方面的员工协同工作,而这可能是安全专业人员不得不面对的最大障碍。如果你不能同公司业务执行一级的人员默契协作,那么你在公司中的地位将大大降低。”

  首席安全官的未来

  如果要预测首席安全官今后将在企业内发挥什么样的作用,可以再一次对CIO这一职位进行更深入的研究。最近,业界在广泛争论,需不需要将CIO对公司的支持职能转变成对企业发展的更高层的执行职能。(虽然相关的这种讨论已不是第一次。过去,在首席财务官(CFO)尚未成为关注股东利益的战略决策者之前,他们的职位性质只是会计师而已。)Saffo表示,首席安全官所面临的挑战是除了本身的的保护作用以外,能不能在其他方面设法证明自己的价值。他认为,下一步,各大公司需要CSO能够成功转型,就像CIO们在过去十年时间内已经做到的那样。也就是说,CSO们要从过去单纯的技术支持和基层作用,转变成能够提高公司核心业务生产力和效率的中心作用。

  这是Beth Cannon希望看到的,她是Thomas Weisel Partners的CSO。Thomas Weisel Partners是一家投资银行和证券交易商,总部设在旧金山。Cannon从该公司1999年成立起就一直在那里工作,并在2004年被聘为公司的首席安全官。在她升职之前,她负责工程和基础设施,包括服务器和网络方面的运营。

  “根据有关规定,我发现有很多人的安全权限都低于我,访问网络受到限制,”她说,“当公司的规定越来越多时,CIO们表示,‘我认为,我们需要有人把重点放在这些事情上。’而我也就顺理成章的在公司中从事这一工作了。”

  Cannon说,在那之后五年间,CSO的作用已经得到了明显的改变。该公司开始从事国际业务,因此Cannon在当时不得不了解美国以外其他一些国家的遵守原则。该公司还于2006年上市。

  “在刚开始的时候,这项工作是非常业务型的,以信息安全为重点,因为我们必须为系统打上最新的补丁,记录下公司网络活动的最新动向,”她说,“我们已经让一些安全措施就位,以便能够更好地处理公司网络外部的突发情况。”

  而现在,Cannon认为,在她的任期初期设置的许多保护措施已经开始运作。在一开始的时候,他们是被迫考虑业务问题,而现在这已显得稀松平常。这使她能够花更多的时间来寻找实施安全的方法,不仅为了保护数据安全,而且还能为公司发挥一些其他的作用。她说,她现在工作的重点是业务连续性。最近,广受关注的猪流感大流行成了管理人员首先考虑的问题。

  “现在我尝试走出去和公司的员工谈话,‘这不仅仅是技术’。让我们谈论一下你应该怎样管理你的员工。”

  另一个工作的重点是数据分类。Cannon表示,她希望她的努力能够让安全在公司的决策层里获得一席之地,因为她能够证实安全的价值,她所在的部们今后会给公司带来一些遵守条令和管理方法。这样,在潜移默化中,人们就会改变安全部门只是一个成本中心的看法,从而表明安全对一个公司的未来而言是至关重要的。

  IDC关注西欧信息安全的分析师Eric Domage表示,正如社交网站和其他Web 2.0应用程序将现有的平台结合起来建立的全新用户交流方式一样,首席安全官们需要将公司业务若干方面的知识结合起来,从而有效的评估风险,以及更有成效的与管理层沟通。Domage最近在一个风险管理会议上进行演讲,他谈到了自己对首席安全2.0职责的一些看法。

  对CSO 2.0而言,个人魅力和沟通技巧显得尤为重要(一项名为“首席安全官现有情况”的调查显示:在2003年,受访者认为良好的交流是他们工作成功最重要的技能)。尽管许多公司安全负责人可能认为自己的角色更侧重于安全方面,不必重视和公司其他部门的交流和沟通,但现在他们需要做的是同公司的整个部门打交道。

  Caterpillar公司的全球安全总监Tim Williams表示,那些不善交际的CSO在公司中将没有出路。Caterpillar公司是世界上最大的从事建筑和采矿设备、柴油机和天然气发动机以及工业燃气涡轮机制造的公司。Williams把不断变化的情况比作抢椅子的游戏。

  “当音乐已经停止后,那些能够抢到椅子的人,才是目前和未来真正有商业发展前途的人。”

  Williams在一些公司(如宝洁,Boise Cascade和北电网络)有数十年的专业安全从业经验,他曾担任美国产业安全学会(ASIS International)的委员,他在5年前率先就首席安全官给出了一个正式的定义。今天,Williams把CSO的作用定义为企业安全风险管理。

  “首席安全官为自己从事的职业和文化建立了一个有凝聚力的策略,他们很可能在目前的经济低迷时期幸存下来,”Williams表示,“他们有能力解释公司的安全工作是什么,并将其和公司的业务联系起来,展现出自己的价值。”

  Williams认为,CSO和CISO需要有实力应对那些具备企业风险知识的管理层,从安全的角度来审视他们的工作,并能够把安全放在一个商业背景下,从而预见的风险事件可能对经济产生的影响和频率。他还强烈希望,需要让一个高效的安全方面领导者作为团队的一份子来开展工作。他将自己迄今为止在Caterpillar公司所取得的成功归因于所在的安全部门成员的过硬实力。

  Williams同意新的CSO的工作是一个拥有安全专业知识的公司管理人员。但是,首席安全官如何开展工作,如何将对公司业务进行风险评估,这是一门艺术和科学,每名首席安全官都需要有效的工作,从而获得Saffo先前所提到的来自公司其他部门的尊重。这将需要首席安全官除了风险之外,还能彻底理解公司的产品线和当前经济的发展动力,这可能意味着他们需要知道如何以有限的资源来进行高效的投资。Williams认为,一些拥有工商管理硕士学位的安全主管将能够在公司中继续谋求更大的发展。

  “你如何花公司的钱?当这笔钱花出去之后,你有什么样的风险评估?对此,你必须制定一个有凝聚力的、可以理解的、明确的战略,”Williams说,“来自各方面的压力,迫使他们必须有能力在逻辑上前后一致的为自己的部门争取到公司的资金。我们最好具备这种关键的技能,不然我们可能就会有麻烦。”

  那么,对于那些不具备这些的技能人而言,又会是种什么情况呢?当你今天踱步走过Genzyme公司时,你就可能窥见端倪。一些CSO最近参观了这家公司,并有机会看到Kent所使用的最先进的程序,该程序以一个“全部存在危险”的观点来审视公司所面临的风险。这包括一个令人印象深刻的监控室,工作人员在那里对公司实时的潜在风险进行评估,监控着来自世界各地的数据。

  这种无所不包的观点并不局限于一个地下室运营中心。在今年早些时候,Genzyme公司将安全、风险管理、具有竞争力的和技术方面的情报结合起来,统筹管理,并把Kent的职位名称改为负责全球风险和商业资源的副总裁。这与他过去在该公司作为一个安全专业人士的工作大相径庭,Kent现在在公司管理层内有一席之地,从而能够与其他公司高管讨论安全方面的战略和风险评估。

  他乐观地认为,Genzyme公司将证明了不仅需要对风险采取被动防御,而且需要增加其能力,从而提供商业方面的情报。

  “我们目前正在同其他公司开展合作,”Kent说,“但是,更有趣的工作是发现我们今天所不知道的公司之间新的联系,从而为之提供相应的服务。”(