McAfee公司的CSO Martin 先生
安全供应商里负责安全的人是如何工作的?他们遇到的挑战和其他企业有什么异同?MartinCarmichael是解开这个疑问最合适的人。作为McAfee公司的CSO(首席安全官),他要负责这家2006财年收入达11.4亿美元、拥有超过3700名员工的世界上最大的安全公司之一的整体安全状况。除此之外,他还要关注下一代安全技术的体系和发展情况,以帮助McAfee公司做出技术和产品方向上的调整。 曾经的COO经历使得Martin看问题的高度和角度与普通的CSO不同,他强调和企业里的其他部门能进行更好的合作,而不是去吓唬这些部门,说安全形势有多危险、你的所有数据都会丢失等等。Martin认为,和业务部门对话时不要使用技术术语,而是要让他们更加理解安全方面的投资会得到怎样的回报,以及一些安全决策背后真正的驱动因素是什么。 CIOI:在成为McAfee公司的CSO之前,你曾是其他企业的COO,这个经历对你现在的角色有帮助吗? Martin:当然。如果你是一名CIO,你的主要职责就是拓展和提升业务的能力,建立一个能让用户取得成功的环境和IT架构。此外,CIO还要对服务器的数量、应用程序的数量和IT部门购买的其他设施心中有数。但不管是COO还是CIO,也只有10%或15%的精力放在安全管理方面,因为安全很难为公司带来直观的经济利润,而CIO的任务显然是能够推动收益—借助高科技帮助公司获得更好的收益。而作为一名CSO,你关注的重点就是信息技术的风险,保证员工在安全的环境下工作。虽然COO和CIO与CSO是从不同的切入点来看待问题,但是他们也有共同点,比如说在对业务的理解这一点上。 从传统意义上说,CSO不需要与企业的核心部门密切合作,而COO必须要和业务部门密切合作才能保证工作的效率,才能了解什么是对业务有价值的、企业有多少资金、我们应该如何让这些资金创造最大的价值。最好是要让CSO理解,安全只是他们工作中的一部分,并不是全部,CSO的目标应该是通过控制风险来增加公司利润,为股东创造更多的价值。 现在安全问题越来越复杂而多变,你认为CIO该如何管理企业的安全风险? 我觉得关键在于平衡,如何平衡风险和回报。CIO应该仔细考虑企业所面临的安全风险,和管理安全风险后能为企业带来的经济回报,这些会帮助CIO理解如何用安全带来的价值去平衡在安全上的花费。 事实上,做这种平衡并非易事。CIO需要有人来帮助他关注安全,CSO的重要任务之一就是告知CIO所有的安全风险,这会帮助CIO做出明智的决定,并和COO沟通关于安全风险的信息。 但是今天有很多CIO都不清楚他们的企业存在的风险、如何来进行平衡。安全就像一个灰色地带,你不知道该花多少钱来消除安全隐患,也不清楚该如何有效地把钱花在刀刃上。McAfee公司建立了一个流程,一个帮助企业理解如何高效实施安全的流程。这个流程的重点是分析风险是什么;我们有多少资金;怎样减少安全隐患;如果不花钱解决安全风险,企业会有多大损失等。 即使我们可以用McAfee的产品来管理企业的安全风险,但ROI(投资回报率)仍很难评判,这岂不是意味着企业依然难以取得风险和投入上的平衡? 的确投资回报率是很难计算的,因为大部分的风险管理手段里不包括计算ROI的流程。只有在某些特殊行业,比如保险业,他们每天的日常工作都存在风险,他们就能够计算ROI。但在很多行业的风险管理中,并没有囊括ROI的衡量标准,对他们来说,要引入ROI和ROI相关数据是个艰巨的工作。大部分CIO都不能顺利引进ROI,这不是你用什么技术或软件的问题,而实际上是决策的问题。我知道很多人在为ROI头痛,在为与业务部门维持长期良好的关系而烦恼。但是ROI确实能帮助公司更加明晰风险管理的意义,所以将ROI纳入风险管理中不失为上策。 安全风险管理已成为中国CIO最关心的话题之一,你认为安全风险管理的实质是什么?在这方面,企业面临的最大挑战是什么? 企业进行安全风险管理的核心是流程。如果你想建立有效的风险管理,就必须建立合理的流程,否则很难成功。如果你不能理解方法、步骤、最初阶段、重复阶段、管理阶段、衡量方法和模式等,没有这些有效的流程,任何风险管理都无法成功实施。 人、技术和流程构成了完整的安全链条,安全风险管理的实质就是流程,这个流程是用于评估人和技术的作用,同时又是由人利用技术来执行的。风险管理就是前后一致地评估这几个方面,但问题往往出在我们的评估是随意无序的。 关于风险管理,企业面临的最大挑战是明确什么需要保护、什么不需要保护。没有哪个企业的架构是统一的,也没有哪个企业有统一的标准和方法来保护所有的环节。这就是我们今天所面临的复杂的大环境,如何进行评估,如何确定各个方面所需要的恰如其分的保护,对于今天的CIO们来说的确是个大难题。 现在安全风险管理的产品、技术的现状如何?如果让你对市场上的产品打分、5分制的话,你打几分?在风险控制的方法论里,一般使用的是流程的思维和模型。现在的IT安全问题非常复杂,极具挑战性,对于一些重复出现的问题,方法论可以帮助你用可重复的解决方法来解决,比如说漏洞问题,就是总在不断地发现和打补丁。但首先我们必须要解决的是对漏洞的管理方法,这样就能实现自动打补丁。这就上升到新的高度,一旦发现问题,可以自动找到解决的办法。现在市场上绝大部分产品还是停留在可重复的解决方法这个层面,但McAfee可以允许不同的方法来应对不同的漏洞。
