|O|

CSO与CEO成功合作秘诀 CSO与CEO关系访谈

发布时间:2010-07-21 09:13 作者:网界网来源:网界网点击:加载中...次

CSO与CEO之间的关系是任何实施有效安全战略的机构中的关键关系。这两人必须携手工作，确保安全投资适应不断变化的风险形势。

　　最近，《Network World》总裁兼编辑主管John Gallant通过电子邮件采访了BT Radianz Acting公司（一家为金融服务行业提供连接的供应商）CEO Laurie Bowen和CSO Lloyd Hession，请他们介绍是如何应对安全挑战的。

　　问：我想调查你们的工作关系以及你们在公司面临的风险上是如何配合的，是如何控制这类风险的。请你们先来谈谈对对方的基本要求吧。

　　Bowen：我们的客户希望我们的服务具有高性能、可靠和安全。我希望Lloyd和他率领的团队制定和实施有效战略，控制那些可能给我们服务造成负面影响的风险。

　　Hession：我对能够在BT Radianz工作感到很幸运，因为在BT Radianz，安全性是我们工作中不可分割的组成部分，是我们提供给客户的价值观念的重要组成部分。公司中的每个人都懂得这点，而这大大方便了我的工作。

　　业务决定归根结底归结于一种管理团队必须做出的风险/回报的折衷。我的团队在这一过程中的工作分为两个阶段：首先是分析阶段，确定、量化和向管理层提出风险问题；然后在第二阶段，与业务单位合作来减少、分配或接受这些风险。在这种注重实效的方式中的关键技能是在时间和资源范围内完成任务的能力。

　　作为CSO若想在我们的环境中取得成功，他不需要直接的控制；CSO更多的是一种发挥影响力的角色。从根本上讲，这种角色需要机构中的一个重要职位，需要首席执行官的全力支持，而这两点我都得到了。

　　问：CEO与CSO的关系在BT Radianz是如何演进的？你们是怎样在保护公司安全上变得更有效的？
　　
　　Hession：我是在BT Radianz公司2000年6月成立不久后加盟公司担任CSO的。在这6年时间里，我们的业务每年以60%以上的速度发展。在此期间，我们改变和调整了我们的组织结构来适应我们目标。我与CEO的关系同我们的业务走向成熟一样得到了很大发展。

　　一开始，我把重点放在控制可能造成合同责任和影响服务水平协议的安全风险上。CEO希望看到我们能够控制一些客户要求的非常苛刻的合同条款的风险。这些重要合同会被董事会查看，因此风险也会被他们看见。随着时间的发展，我们开发了基于利用风险记录单（Risk Register）和相关方法以及每季度审查的更正规的流程。随着业务的发展，我们开发产品和服务资产组合，这时，我与CEO关系的重点转到了更关注业务发展的机会上。我们之间谈话的重点更多地放在我们客户控制风险和安全性的需要上，放在我们可以发展帮助他们应对这些挑战的额外能力的类型上。

　　随着我们网络的发展，扩展安全解决方案的费用也在增长。公司在40多个国家开展业务并拥有大约四万台路由器，在这样的情况下，扩展成为了问题。2000年，我们部署了联机接入检测系统解决方案（现在叫入侵防御系统），这是ISS Guard在世界上最大规模的部署之一。由于与这种规模相关的复杂性和费用难以控制，我的工作重点转到了关注高性价比和比较透明的保护高风险LAN的安全解决方案上，如ConSentry。

　　问：你们是如何与在其他机构中的同行谈论安全问题的？你们俩是如何交流这些新看法的？
　　Bowen：BT Radianz的网络每天完成数万亿美元的交易。与客户讨论安全问题的谈话的重点常常集中在我们的基础设施的可靠性上。这些谈话会迅速演变为技术性的谈话，深入探讨我们网络的基础设施和设计，而这些是我们竞争优势的关键。

　　Hession：与客户交流体现在三件事上。首先，我们必须确保我们倾听客户担心的安全问题和不断发展的要求，这样我们可以提供达到客户安全标准的产品和服务。我们通过举办研讨会和圆桌会议以及参加关注安全性和风险的金融服务论坛来做到这点。第二，我们希望确保我们了解客户面临的威胁与风险，确保我们采取必要的措施来保护我们自己和客户，使我们不成为他们外部安全防线环节中的薄弱环节。我们采取的方法是通过保持与执法、情报界和安全机构的关系（如FS/ISAC和事件响应与安全小组论坛），以及与我们的战略厂商（如Cisco）的安全团队的密切合作。第三，我们与客户的运营与安全团队建立了关系，这样一旦发生安全事件，例如蠕虫（如SQL Slammer），我们的团队可以采用协调的行动来减少和控制可能造成损失的局面。

　　当我们通过这些途径掌握新出现的安全威胁时，我的责任是向管理团队通报。有时，我向我们最大客户的CEO通报这些问题。

　　问：在公司面临各种挑战――从灾难恢复、病毒大爆发到确定偷窃和对关键基础设施与应用的攻击的情况下，你们如何配合，确定风险的轻重缓急？

　　Bowen：作为金融服务业关键基础设施供应商，我们对客户和我们自己面临的威胁有着清醒的认识。我们的客户合同包括如果没有达到服务水平时的具体惩罚。这为风险评估过程提供了一个风险影响的明确指标和一种我们可以区分减少风险行动优先重点的方法。除了这些运营风险外，给我们声誉造成的损害会对我们作为顶级网络供应商之一的地位造成负面影响，让我们付出业务代价和影响我们的利润。因此，BT Radianz公司高级管理团队定期开会讨论潜在的风险和确定项目的优先次序。

　　问：一旦你们完成了风险评估，你们如何配合确定保护公司所需的相应人员和资金的呢？

　　Bowen：我们有一个与我们的业务目标联系在一起的年度预算和规划周期。不过，我们在预算中加入了一些灵活性，如果出现需要的话，我们可以修改预算适应不断变化的业务环境。

　　Hession：由于安全性是BT Radianz公司每个人的职责中密不可分的一部分，人员和资金并不是专为一个大型企业安全职能而准备的，而是嵌入在业务部门和技术部门中的。我们面临的挑战是与业务单位负责人合作，帮助他们了解满足我们的风险控制目标所需要的资源。CEO通过确保业务部门的优先重点（包括风险控制部分）与技术部门和业务取得恰当的平衡，在这一过程中发挥关键作用。