你总是强调与业务部门的交流沟通，能否以你自己经历的真实事例来说明成功和失败的沟通是怎样的？
　　
　　当我16岁的时候，我总是四处游荡，那时在身上什么都可能发生，你可能蹲监狱或是别的什么，当然这是非常消极的想法。
　　
　　CIO或CSO需要的是业务部门的成功，那些从自我角度出发的做法是绝对错误的。我关注的重点是与我有合作关系的业务部门，他们能让我成功。如果我想要在McAfee公司部署某个安全产品，我会告诉业务部门他们正面临的风险和如何减少风险。因为我是用损失、ROI这些业务部门的语言来和他们进行沟通的，业务部门就很买我的账，因为他们不想看到风险。一旦他们理解了你的目的，他们反而会成为风险管理强有力的助推器：他们不但支持你的观点，还会主动使用你推出的产品，这就是个巨大的成功。
　　
　　作为一名CSO，你现在最担心的安全问题是什么？
　　
　　我最大的担忧是产品的知识产权问题。McAfee公司有优秀的研发人员，这些研发人员掌握着公司产品的宝贵数据和信息。我担心的是如何保护这些知识产权不被侵犯、不被别的公司盗用，以及这些数据的质量和一致性。
　　
　　McAfee公司日常是如何控制安全风险的？
　　
　　我日常控制风险的工作就是管理风险、实施保护并进行评估。我们从评估做起，通过风险审计和评估来找出风险的根源。然后我们会模拟出很多解决方案的模型，和业务部门一起讨论找到他们想要的那种。对其完善后，再来评估这种选择是否有效。我们不断重复着这样的工作。
　　
　　听起来工作是很顺畅，但实际上这种日常工作也不断地被中断，一会儿发生违规事件，一会儿又有事故需要善后，同时一些政策法规又在不断变化，或是有新的诠释。总之，这是一个变化的、动态的环境，突发情况不断发生，使得看上去本应顺畅的工作因为不断的突发事件而变得非常复杂。
　　
　　你也认为你的工作很复杂？
　　
　　的确，这个工作非常复杂。所以我们才需要模型、工具和安全专家来解决风险管理的问题。安全的环境是如此复杂，已不是专家单独的能力就可以解决的，而且安全的复杂性和突发性也需要借助计算机模型来模拟环境。我相信安全和风险管理的问题已经不是一个人或一个团队就可以解决的了。
　　
　　当然，你可以一个人去控制风险，也可以不借助计算机模型和模拟功能来评估，但我认为鉴于安全环境的复杂性，这是不现实的。如果你不采用计算机模拟安全风险的模型，我认为你就不可能真正理解安全风险管理。
　　
　　如果连McAfee公司这样的安全供应商自己的CSO都觉得安全管理很复杂的话，可以想见其他企业在这方面会遇到怎样的挑战了。
　　
　　我认为如果其他公司也理解业务流程和业务方法论的话，安全流程就会变得简单多了。设想所有其他方面或业务部门都使用统一的方法论，我相信安全控制会变得越来越简单，直到有一天会变成常识性的东西，但这种改变需要付出努力和时间。这种变化是必然的，因为我们必须更有效地管理安全风险。
　　
　　不过我们没有取得理想的成功，这不是一蹴而就的事情，变革总是艰难的。但我坚信，只要你清楚你的目标是什么，让员工理解改变流程的价值所在，我们就会取得成功。我认为部署新技术遇到挑战是必然的，但在技术和流程的改变中你获取到的是价值，值得我们付出努力。
　　
　　现在安全产品的复杂性已越来越令人头痛，彼此之间不能协同工作尤其令人惋惜，现在这种状况正在得到改善吗？
　　
　　是的，一定会改变的，但我很难断言会如何改善。以我为例，我作为McAfee公司的CSO，最让我头疼的问题是产品之间不能相互沟通。把所有的产品整合在一起，让它们协调一致地工作，这项工作的确让你备感挫折。不只是McAfee，还有许多其他及新兴的公司都有自己的安全产品，所以在每一个安全的环境里，你会发现来自不同供应商的安全产品的大杂烩。
　　
　　这的确是极大的挑战，但我们应该可以克服这个挑战，我已看到很多人在致力于解决这个难题，通过建立标准和双向交流等手段。我相信也希望问题可以解决，只是速度不会像我们希望的那么快。McAfee公司已经把所有的安全产品都整合到了一起，整合是我们的关键，我们希望这可以促进完全的整合和一元化的构架。