爱华网摘要:网络中断和病毒传染每年耗费商界数百万美元。 我们经常能看到关于新病毒攻击和摧毁公司系统的新闻,还有很多所谓的“黑客”窃取众多公司客户数据和其他商业秘密。 从而导致公司经济发展滑落甚至破产,或者大量的公司雇员的解雇。这些危险直接接近企业的主体系统,这对企业而言就是一个严峻的安全挑战。
正是在这样的背景下,CSO(Chief Security Officer)应运而生。
关键词:cso;首席安全官;中国企业;选择
在人类迈入信息时代的今天,各企业分享着现代科技带来的便利,也面临着信息安全的威胁。近两年来,一种被人们称作“冲击波”的蠕虫病毒掀起了一场至今也另人心悸的互联网风暴。但那只是表象,从过去的防止外部病毒攻击,到如今的网络内部管理日益受到重视, 特别是随着许多企业、政府、金融、能源等行业纷纷建设了Internet网络,再加上Internet天生存在的漏洞。网络中断和病毒传染每年耗费商界数百万美元。我们经常能看到关于新病毒攻击和摧毁公司系统的新闻,还有很多所谓的“黑客”窃取众多公司客户数据和其他商业秘密。从而导致公司经济发展滑落甚至破产,或者大量的公司雇员的解雇。这些危险直接接近企业的主体系统,这使得网络信息安全问题在今天成为了一个异常严峻的课题。如何享用现代信息系统的快捷、方便的同时充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
专家研究表明,信息安全在于保证信息的机密性、完整性、可用性三种属性不被破坏。为保障信息的机密性、完整性和可用性。由英国标准协会(British Standards Institution,简称BSI)制定了信息安全管理体系标准。它包括两部分,其第一部分《信息安全管理实施规则》于2000年12月被国际化标准组织(ISO)纳入世界标准,它广泛地涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等。这个标准已经成为国际公认的信息安全实施标准,适用于各种行业与组织。
中国有关机构在2003年4月16-18日联合举办首届中国信息安全管理论坛,针对国际公认信息安全标准进行了研讨,100余人参加了讨论会,取得了良好的效果,为进一步使国内安全管理人员熟悉国际信息安全管理标准,中国开始了培养既懂信息安全管理标准,又懂信息安全技术的CSO。
其实,在国外,早在美国9·11恐怖袭击之后,安全问题就被提升到了一个非常重要的位置。在政治家忧心忡忡的时候,商界也忙乎起来。于是,继CEO(首席执行官)、COO(首席运营官)、CFO(首席财政官)之后,CSO(首席安全官)也应运而生,赫然出现在一些大公司的管理高层。
信息像其它重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要妥善保护。信息安全使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资和业务的回报。
CSO(Chief Security Officer),在我国有多种翻译。有的叫“信息安全主管”、“首席信息安全官”,有的译为“首席安全官”、“安全总监”、“首席安全策略家”,也有的叫做“首席安全执行官”、“首席战略家”。
一、微软等九家公司成立全球首席安全官委员会
前不久,九家美国大公司以及一家政府机构的安全主管们计划成立一个新的安全顾问组织,这一组织成立的目的是为了帮助企业更好的保护它们的信息系统。
这一组织的名称为全球首席安全官委员会,它将提供安全建议、发布安全推荐,并同美国本土安全部一起帮助美国公司应对通过互联网发起的攻击。该组织最初的成员包括eBay公司的首席安全官以及前美国最高网络安全官霍华德。斯米特,此后来自美国银行、花旗集团、甲骨文、MCI、微软、摩托罗拉、Sun以及华盛顿互惠公司的安全主管将会陆续加入进来。参加这一组织的唯一一名政府代表是纽约州的网络安全及关键设施主管维尔。佩格林。
今年二月,美国布什政府制定了最终的保护互联网及信息系统战略。这一战略要求政府部门同私人企业协同作战,共同创建网络攻击应急响应系统以减少安全威胁。美国政府是在全国范围内受到Slammer蠕虫病毒的攻击后制定这一策略的,这一病毒给美国的政府部门和公司带来了难以估价的损失。美国银行和华盛顿互惠公司都因为这一病毒而造成自动柜员机(ATM)停转,原因是取款机和公司服务器之间通信失效。
安全专家指出网络攻击在未来几年有愈演愈烈的趋势。全球首席安全官委员会成立的目的就是遏制这种势头的发展。目前该组织的成员只有美国的公司和政府机构,而在不久的将来该组织将吸收来自全球的代表加入。
安全问题的重要性已经得到越来越多用户的关注。但是,中国用户在网络安全问题上,说得多,做得不够,真正建立起完备、科学、合理安全防护体系的就更少了。造成这一局面的根本原因是对安全系统的投入不够。
美国等发达国家在网络安全方面的经验与教训值得中国用户借鉴。以前,用户在安全问题上的做法是“头痛医头、脚痛医脚”,没有从整体上考虑网络安全问题。中国企业的信息化基础设施已经初步完善,现在是考虑安全系统的时候了。目前,中国的信息化基础设施建设已经达到很大的规模,必须开始重视信息安全的问题。要从系统设计的早期就考虑信息安全的需求,从根本上保证系统的安全。而对信息安全越早重视越早投入,就越能够减少企业因为风险而造成的损失隐患,也能够更多地节约后续的资金消耗。
另外,国家应该尝试在安全系统中采用国外先进技术与产品。他认为,安全系统是不是都要国产的,实际上是一个值得推敲的问题。“但我相信政府会慢慢开始通融,至少在服务内容上,可以先行采用类似于病毒检测、漏洞检查、入侵检测等不需要涉及变更和渗透的服务项目,在那些如防火墙、加密等敏感项目上,可以在进一步的沟通和整体市场的发展中来决定是否采用国外技术与产品。”
二、企业发展急需首席安全官(CSO)的支持
当商业从关键任务的商业过程和应用向IP网络迁移时,或者运用英特网与供应商、合作伙伴和客户进行信息交流时,安全问题理所当然地成为人们关注的重点。为实现股东利益的最大化,包括首席执行官(CEO)、财务总监(CFO)、首席信息官(CIO)、技术总监(CTO)和首席运营官(COO)在内的C级管理人员,在做出战略决策时都难免背负沉重的负担。显然,实现利益最大化和企业日趋增长的安全性要求之间存在着冲突和抵触。
安全不仅仅只是一个涉及网络的问题,它还直接影响到CRM、供应链、端口和外部网软件。尽管用于安全的预算每年正以25%的幅度增长;然而,事实上这部份预算并没有得到合理使用或者没有起到预期效果。
包括CEO、CFO、CIO、CTO和COO在内的C级管理人员应该全力支持CSO(首席安全官)的工作。首席安全官(CSO)的主要职责是对物质和技术安全负责。他们利用法律和行业规定对物质基础设施进行保护。现在的金融服务和医疗保健服务已经具备比较完善的个人隐私规定,因此,确保在线信息的安全性成为服务提供商的一项法律义务。首席安全官面临的挑战,正是如何创建一个安全架构,对网络、硬件、软件、应用、数据各方面的内容进行安全管理。由此可见,首席安全官在开展工作时,必须将这一安全理念灌输给所有部门和子公司,并实
美国著名经济杂志《商业周刊》在“2002年度世界100大品牌”的评选中,评估韩国三星电子的品牌价值为83亿美元,居世界100大品牌的第34位,较之上年的64亿美元上升了30%,而排名也提升了8位,成为全球品牌价值提升速度最快的公司。就在这段知名度迅速跃进的过程中,三星曾经在全球聘请过多位CSO。美籍华人莫斯(Morris)就是其中的一位。他主要为三星在中国的信息技术投资出谋划策。 在莫斯的履历表上有几个我们非常熟悉的世界500强的名字:AT&T、IBM和微软;他曾经协助AT&T开发多媒体培训教育、帮助IBM开发全面质量管理技术、为微软公司拓展美国程序开发市场。 正是因为有在好几家世界500强工作的经历和经验,三十出头的莫斯在CSO的位置上显得比较轻松自如。作为首席战略官要考虑的几件事情是:现在在做些什么?还能做什么呢?为什么要做?怎样去做?对莫斯而言,在中国的IT市场竞争日益激烈的状况下,帮一个“IT巨无霸”在中国决策是一个很大的挑战。《商业周刊》2003年6月24日公布的“全球IT百强”中,三星名列第一。作为韩国第一大企业,去年三星全球销售额达到900亿美元,经营领域遍及电子、金融、娱乐、酒店、石化、重工、毛纺、文化等诸多领域。如此看来,CSO功不可没。
事实上,CSO就是企业的“军师”。
三、CSO是否也会像CEO、COO(chief operation officer)那样大行其道呢?
两三年前,在CEO等刚刚写入字典的时候,人们尚不知CSO为何物。但实际上,大公司里的一些安全专家,甚至保安人员,正在担负着公司各方面的安全重任。CSO在不同的公司有不同的含义,有些保护实物安全(包括职员人身安全和公司财产安全),有的负责防止公司网络免遭黑客攻击,有的主要保证公司产品的性能安全。 然而,CSO具有更广泛的内涵。业界人士称之为“首席安全策略家”,意为他们必须在宏观上预见并防止潜在的安全隐患,同时还能够指挥对付已经发生的安全问题。因此,CSO更多的是管理层面的意思,而非技术层面。 9·11之后,CSO开始流行。CEO们开始考虑在公司分设管理实物安全和信息安全的职位。在过去的两年年里,美国在线时代华纳公司(AOLTIMEWARNER)、太阳微系统公司(Sun Microsystems)等大公司聘用了高级安全官员。“猎头”公司永远不会落后时代,著名的“猎头”公司——克里斯蒂安-延伯斯公司(Christian and Timbers)此前从未挖过CSO,而2003年一下子做了5、6宗生意。 但是,CSO要被商界普遍接受,似乎有一段路要走。克里斯蒂安-延伯斯公司调查了《财富》前1000强企业的390名执行总裁,有高达95%表示对CSO感兴趣,但只有25%称准备聘用CSO,而已经着手招聘的则少得可怜,只有8%。很多公司表示,他们还不清楚是否需要CSO,更不知道CSO的工作范围。他们对一些问题感到茫然:实物安全和信息安全是否应由同一人负责?CSO是否可以为了保证安全而不惜代价?CSO在公司管理层处在什么样的地位? 著名市场研究机构META Group指出,30%公司设置了类似CSO的职位,但只有5%的公司分设了负责实物安全和信息安全的职位。业内人士称,如果把这两个职位合而为一,那就没有实际意义了。设想,一个公司聘用退役军人承担双重角色,而事实上这名军人的信息技术和信息安全知识有限,因而他很可能在确保公司技术安全上无所作为。微软公司现任CSO斯科特·查尼负责测试微软产品的安全性能,然后告知客户;而公司的实体安全工作则另有专人领导。 另外,有人担心CSO可能只是“新瓶装旧酒”。因为在已有类似职务的公司,CSO没有多少新的权力。著名调查公司Gartner的研究主管雷·瓦格纳一语中的:“CSO没有被赋予实施安全策略改革的权力。”曾经担任过信息安全工作的加里·兰什说:“他们被淹没在一大堆的技术问题中,根本无法抽身去考虑安全策略。” 业内人士称,CSO必须跳出具体的安全工作事务,从公司全局考虑来制定安全工作计划。但遗憾的是,许多CSO只懂得技术安全,而不了解公司从事的商务内容。从2001年8月开始担任Digital Evolution公司CSO的埃里克·赫林表示,电脑安装的防火墙会由于警报而不时关闭公司系统。“人们对此满腹牢骚,但这就是安全的代价。” 分析家预测,在软件业,预计到明年底将会有20%公司拥有专职CSO,到2009年会接近饱和;而在零售业,聘用CSO的比率仅仅会从现在的3%上升到10%。
四、中国企业是否需要CSO?
在新技术不断诞生、客户需求变化多端、股东对公司期望值越来越高的今天,企业必须制定更清晰的战略目标,并确保战略能够有效执行,因此CSO的设置并不意味着要去取代谁的位置,而是负责指导企业营销与产品战略的规划制定、组织结构再造与重大变革、拓展国际业务等,并协助总裁监督有关战略的执行。
中国企业是否需要CSO?不少外企管理人员的答案都是肯定的。一项调查显示,90%的中国企业不能有效进行战略企业管理,主要原因是企业在设定目标时,尚未真正了解市场环境、目标客户需求和企业自身的实力,制定战略时也没有充分考虑整合人力、财力、物力等资源的配套,而且没有统一工作的方向,在拟定计划时,企业很难将战略转化并连接至各部门及每个员工的日常工作。因此,正处在向国际化企业转型期关键时刻很多企业向国外IT企业取经,引入了这一战略管理机制,希望通过聘请CSO,帮助企业实现跻身全球企业管理前列的计划。
有关信息显示,到2005年将有20%的企业遭受病毒等来自外部网络的严重侵害,并认为“如果受到攻击时没有采取相应的防护措施,那么所蒙受的损失将有可能高于措施成本”。估计由于安全问题造成的损失至少是用户在安全系统上投入的5倍以上。
因此,中国用户应该重视信息系统中安全产品和服务的投资。安全产品与服务投资应该成为企业信息系统投资中必不可少的部分。这一部分是不应该忽略的。
五、中国需要什么样的CSO
CSO一个基本的条件就是对安全应该有一个基本的了解,因此, CSO在三个领域要特意加强自己:
第一,业务连续性和灾难恢复的知识和技能。因为CSO的职责,他要对企业的业务非常了解,他担负着保障整个企业业务系统的安全性和有效性,作为领导者,他同时对业务连续和灾难恢复,作为CSO你应该自身有一个比较好的掌握。
第二,CSO对风险评估和管理应该有一个比较好的理解和掌握。CSO最明确的职责是实现企业信息安全风险管理策略,作为领导者必须对风险评估管理有一个比较深刻的了解。
第三,CSO本身在技术上,要对审计有比较好的掌握和了解。这个“审计”,其实风险评估里面有一部分的审计,这里的审计不仅仅是风险评估里的审计,这个审计涵盖的内容会更大一点,因为CSO的角色从更大一点的层面上来讲,可能涵盖的意义更多。
CSO一方面要借助整个队伍的力量,应该对上边提到的三个方面有比较好的掌握。现在信息技术更新比较快,CSO要注意学习,现在获得知识的渠道是很多的,就看你是怎么筛选,怎么去获取其中对CSO工作更有利的一些知识,这些可能是CSO自己去判断的。
六、一个需要CSO起跑的时代
首先,中国目前很有必要设立CSO。尤其像政府、金融、电信等关键部门,信息安全已经成为企业的核心竞争力,而目前的企业安全正受到越来越严峻的威胁,安全问题的日益严重促使了CSO的闪亮登场。其次,CSO不应该仅出现在IT领域,制造业、零售业等其他行业也应该有CSO的身影。制造业是中国的基础产业,其信息化建设正如火如荼,因此,信息安全也应提到议事日程上来。
另外,我们目前的重点还是CIO(信息主管)。其实,国外CSO的职责远非如此。它是一个宏观的概念,CSO不仅要处理IT安全方面的事务,应该涵盖整个企业的安全领域,包括整个政策的制定,甚至进出公司大门等全方面的问题。
总之,中国的CSO该是到了起跑的时候了。
