问：你们是如何配合确保发展公司内部的安全文化的？即一种每一位管理人员和雇员都懂得关键的安全与风险问题并遵守政策和最佳实践的安全文化。

　　Bowen：作为一家由知识工人组成的企业，我们为建设内部交流和让雇员符合我们的业务目标投入了大量时间和精力。这项努力的一部分包括宣传我们自己的政策和安全对我们客户的重要程度以及他们对我们信任的重要性。这些安全信息包括在我们自己的内部交流中以及管理团队其余人的交流中。

　　Hession：我们采用一种主动的方式来提高安全意识和宣传BT Radianz的安全措施。我们在内部交流雇员可能在内部或外部听到的新安全漏洞，思考它能否影响我们的环境，如果会影响，就寻找方案去减轻它的影响。我们还与我们的同行合作制作有关新安全问题的常见问题解答，使我们的客户服务和经营人员全面掌握这方面的情况，能够处理客户就此提出的任何安全问题。

　　问：你们如何确保风险评估随着市场和威胁形势变化而变化呢？

　　Hession：安全风险在媒体宣传中会被歪曲。谨慎地评估它对特定场景的真实影响对于决策过程至关重要。像Symantec的Deepsight这样的威胁管理服务可以不断提供有价值的信息。决定常常归结于何时修改，而不是是否进行修改。例如，如果计划在1个月后用没有安全漏洞的版本进行路由器升级，为什么现在要修补路由器的IOS呢？这一决定一周后仍有效？安全专业人员常常没有对他们遇到的风险进行充分的评估就迅速修改生产环境。不经过充分的测试和规划，风险可能比这种修改试图控制的风险更大。

　　问：你们如何让其他业务部门的领导人参与这些讨论？

　　Bowen：我依靠我的高层部门领导的合作。我们鼓励在管理会议上开展这类对话。我们在BT Radianz中建立一种避免不同部门各自为政的环境。

　　Hession：由于我职位级别较高，我与部门和业务单位负责人（如CIO、经营负责人）有着平等的关系。这使我在由CEO主持的管理会议上作为一个团队与他们打交道，确保当我们在关注业务战略时不忘风险问题。这还确保我的团队得到业务部门同事的了解和他们的合作。采用风险记录单方法保证了风险所有者了解风险因素、时间表和行动计划。

　　问：你们是一起讨论和决定应对风险/安全挑战的技术解决方案，还是将这些对留给CSO和他在IT部门的同事？

　　Bowen：尽管我们一起讨论对添加到我们的总体业务战略中的安全性的需要，尽管我们对选择什么解决方案很感兴趣，但我们依靠专家做出这些领域的最终决定。

　　问：在你们作为CEO和CSO的角色中，你们目前最担心什么安全问题？什么让你们夜不能寐？
　　Bowen：我听到的最烦心的趋势之一是计算机犯罪领域中出现有组织犯罪。资金雄厚、有目标的犯罪分子是我们的金融服务客户以及我们的主要担心。

　　问：妨碍有效的工作关系的潜在缺陷和障碍是什么？

　　Bowen：如果CSO不能领会安全花费和优先次序必须放在机会成本和相关的折衷的背景下来考虑的话，工作关系会受到影响。作为CEO，我想知道我的CSO首先懂得我们的业务以及安全性如何影响到业务。

　　Hession：在CSO层面上，你的角色90%与业务有关，10%与安全有关。你不能看不到业务就是做出风险资本投向何处的决定的事实。如果你花钱太多，或者用过多的控制妨碍它，你可能非常安全，但你也不能满足业务的需要。

　　CSO与CEO成功合作秘诀

　　1. CSO更多的是一种发挥影响力的角色，而不是直接的控制。从根本上讲，这种角色需要机构中的一个重要职位，需要CEO的全力支持。

　　2. CSO的关注点需要和CEO保持一致，CEO现阶段在关注哪些事项，CSO就要做好这些事项的安全保障，这样才能稳固二者之间的关系。

　　3. 包括CSO在内的高级管理团队定期开会讨论潜在的风险和确定项目的优先次序。

　　4. CSO的团队所面临的挑战是与业务单位负责人合作，帮助他们了解满足风险控制目标所需要的资源。而CEO通过确保业务部门的优先重点（包括风险控制部分）帮助技术部门和业务部门之间达成共识。

　　5. CEO要发展公司内部的安全文化，这将对CSO的工作提供极大的便利。

　　6. CEO需要的是懂得企业的业务以及安全性如何影响到业务的CSO。如果CSO不能领会安全花费和优先次序必须放在机会成本和相关的折衷的背景下来考虑的话，CEO和CSO的工作关系会受到影响。

(责任编辑：)