安全供应商里负责安全的人是如何工作的？他们遇到的挑战和其他企业有什么异同？ MartinCarmichael是解开这个疑问最合适的人。作为McAfee公司的CSO（首席安全官），他要负责这家2006财年收入达11.4亿美元、拥有超过3700名员工的世界上最大的安全公司之一的整体安全状况。除此之外，他还要关注下一代安全技术的体系和发展情况，以帮助McAfee公司做出技术和产品方向上的调整。

    曾经的COO经历使得Martin看问题的高度和角度与普通的CSO不同，他强调和企业里的其他部门能进行更好的合作，而不是去吓唬这些部门，说安全形势有多危险、你的所有数据都会丢失等等。Martin认为，和业务部门对话时不要使用技术术语，而是要让他们更加理解安全方面的投资会得到怎样的回报，以及一些安全决策背后真正的驱动因素是什么。

    CIOI：在成为McAfee公司的CSO之前，你曾是其他企业的COO，这个经历对你现在的角色有帮助吗？
 
    Martin：当然。如果你是一名CIO, 你的主要职责就是拓展和提升业务的能力，建立一个能让用户取得成功的环境和IT架构。此外，CIO还要对服务器的数量、应用程序的数量和IT部门购买的其他设施心中有数。但不管是COO还是CIO，也只有10%或15%的精力放在安全管理方面，因为安全很难为公司带来直观的经济利润，而CIO的任务显然是能够推动收益—借助高科技帮助公司获得更好的收益。而作为一名CSO，你关注的重点就是信息技术的风险，保证员工在安全的环境下工作。虽然COO和CIO与CSO是从不同的切入点来看待问题，但是他们也有共同点，比如说在对业务的理解这一点上。

    从传统意义上说，CSO不需要与企业的核心部门密切合作，而COO必须要和业务部门密切合作才能保证工作的效率，才能了解什么是对业务有价值的、企业有多少资金、我们应该如何让这些资金创造最大的价值。最好是要让CSO理解，安全只是他们工作中的一部分，并不是全部，CSO的目标应该是通过控制风险来增加公司利润，为股东创造更多的价值。

    CIOI：现在安全问题越来越复杂而多变，你认为CIO该如何管理企业的安全风险？

    我觉得关键在于平衡，如何平衡风险和回报。CIO应该仔细考虑企业所面临的安全风险，和管理安全风险后能为企业带来的经济回报，这些会帮助CIO理解如何用安全带来的价值去平衡在安全上的花费。

    “很多人在为ROI头痛，在为与业务部门维持长期良好的关系而烦恼。但是ROI确实能帮助公司更加明晰风险管理的意义，所以将ROI纳入风险管理中不失为上策。”

    事实上，做这种平衡并非易事。CIO需要有人来帮助他关注安全，CSO的重要任务之一就是告知CIO所有的安全风险，这会帮助CIO做出明智的决定，并和COO沟通关于安全风险的信息。

    但是今天有很多CIO都不清楚他们的企业存在的风险、如何来进行平衡。安全就像一个灰色地带，你不知道该花多少钱来消除安全隐患，也不清楚该如何有效地把钱花在刀刃上。McAfee公司建立了一个流程，一个帮助企业理解如何高效实施安全的流程。这个流程的重点是分析风险是什么；我们有多少资金；怎样减少安全隐患；如果不花钱解决安全风险，企业会有多大损失等。

    CIOI：即使我们可以用McAfee的产品来管理企业的安全风险，但ROI（投资回报率）仍很难评判，这岂不是意味着企业依然难以取得风险和投入上的平衡？

    的确投资回报率是很难计算的，因为大部分的风险管理手段里不包括计算ROI的流程。只有在某些特殊行业，比如保险业，他们每天的日常工作都存在风险，他们就能够计算ROI。但在很多行业的风险管理中，并没有囊括ROI的衡量标准，对他们来说，要引入ROI和ROI相关数据是个艰巨的工作。大部分CIO都不能顺利引进ROI，这不是你用什么技术或软件的问题，而实际上是决策的问题。我知道很多人在为ROI头痛，在为与业务部门维持长期良好的关系而烦恼。但是ROI确实能帮助公司更加明晰风险管理的意义，所以将ROI纳入风险管理中不失为上策。
 
    CIOI：安全风险管理已成为中国CIO最关心的话题之一，你认为安全风险管理的实质是什么？在这方面，企业面临的最大挑战是什么？

    企业进行安全风险管理的核心是流程。如果你想建立有效的风险管理，就必须建立合理的流程，否则很难成功。如果你不能理解方法、步骤、最初阶段、重复阶段、管理阶段、衡量方法和模式等，没有这些有效的流程，任何风险管理都无法成功实施。
       
    人、技术和流程构成了完整的安全链条，安全风险管理的实质就是流程，这个流程是用于评估人和技术的作用，同时又是由人利用技术来执行的。风险管理就是前后一致地评估这几个方面，但问题往往出在我们的评估是随意无序的。

    关于风险管理，企业面临的最大挑战是明确什么需要保护、什么不需要保护。没有哪个企业的架构是统一的，也没有哪个企业有统一的标准和方法来保护所有的环节。这就是我们今天所面临的复杂的大环境，如何进行评估，如何确定各个方面所需要的恰如其分的保护，对于今天的CIO们来说的确是个大难题。

    CIOI：现在安全风险管理的产品、技术的现状如何？如果让你对市场上的产品打分、5分制的话，你打几分？

    在风险控制的方法论里，一般使用的是流程的思维和模型。现在的IT安全问题非常复杂，极具挑战性，对于一些重复出现的问题，方法论可以帮助你用可重复的解决方法来解决，比如说漏洞问题，就是总在不断地发现和打补丁。但首先我们必须要解决的是对漏洞的管理方法，这样就能实现自动打补丁。这就上升到新的高度，一旦发现问题，可以自动找到解决的办法。现在市场上绝大部分产品还是停留在可重复的解决方法这个层面，但McAfee可以允许不同的方法来应对不同的漏洞。

    大部分安全风险管理产品是1 ～ 3分，只有少数是4分、5分。这是因为风险很难评估，也很难确立行之有效的方法，也正因为如此，CIO很难做出决定。CIO会非常清楚服务器、应用或是网络的情况，但他们无法用同样的方法来衡量安全方面的状况，这也导致他们很难进行有效的管理。

    CIOI：我听说你的博士论文就是有关安全风险管理方面的，那时候和现在比变化有多大？能否给我们讲一讲安全风险控制技术和理念方面的历史演变？

    在我写论文的时候，还没有风险控制流程，没有规章制度和现在这些法律，也没有这么多安全隐患和违规事件，所以在安全控制和法规遵从方面已经变化了很多。我写的论文是关于应该如何衡量潜在的安全风险，我相信尽管环境已经变化，但这些内容今天仍然重要，因为你必须要了解对风险环境的评估和方法。

    “如果想要成为成功的CIO或CSO，你就必须学会用业务部门使用的语言来讲述IT系统带给业务的价值。”

    在法规遵从方面有了非常显著的变化，我要强调的是安全和法规遵从并不是一回事。遵从法规的不一定是安全的，安全的东西未必是合规的。法规遵从是确保人们符合规章制度，而安全则是有关风险的问题，它们是完全不同的两个概念。在我的论文里，我讲的更多的是法规遵从，而不是安全风险控制。法规遵从的内涵和外延发生了深刻的变化，但在安全方面所面临的挑战一如当年。

    CIOI：你认为安全风险管理产品和技术的发展趋势是什么？

    安全风险管理技术趋向于更多人经验的总结，一个人只有精通不同的安全领域，才能对安全风险环境进行评估。在风险管理方面，我们看到出现了符合法规遵从的一些工具，来帮助企业进行风险管理和法规遵从。同样，还有一些集成了安全管理功能的工具，能够实时地确定风险。我们还看到在安全风险评估方面出现了一些很有意义的术语，来帮助CIO和CSO更好地理解风险。

    CIOI：由于McAfee是一家安全供应商，这是否意味着你作为CSO的工作会比其他企业的行轻松许多，因为会少很多沟通障碍。

    学会使用业务的语言，我认为这对于CSO或CIO的成功至关重要。安全不仅是CSO或CIO的事，同时也是企业的决策。你应该让业务部门来做出安全方面的决定，方法是告诉业务部门安全风险是什么、采取什么方法或花多少钱可以减少风险。如果你想和业务部门合作，你就必须说业务部门使用的语言；很长一段时间以来，安全风险都是以技术术语来诠释的。许多安全风险管理者尝试给业务部门做培训，让他们懂得技术和安全管理的专有名词。

    业务部门的确想了解他们面临的风险，但消除风险需要花费多少，这才是业务部门最感兴趣的信息。如果你真的想和业务部门沟通，你就必须提供与安全相关的所有信息，即使是安全厂商也是一样。我们的业务部门也想要卖出产品，想要留住顾客，这点和其他公司相比并没有什么不同。如果想要成为成功的CIO或CSO，你就必须学会用业务部门使用的语言来讲述IT系统带
给业务的价值。

    CIOI：你总是强调与业务部门的交流沟通，能否以你自己经历的真实事例来说明成功和失败的沟通是怎样的？

    当我16岁的时候，我总是四处游荡，那时在身上什么都可能发生，你可能蹲监狱或是别的什么，当然这是非常消极的想法。

    CIO或CSO需要的是业务部门的成功，那些从自我角度出发的做法是绝对错误的。我关注的重点是与我有合作关系的业务部门，他们能让我成功。如果我想要在McAfee公司部署某个安全产品，我会告诉业务部门他们正面临的风险和如何减少风险。因为我是用损失、ROI这些业务部门的语言来和他们进行沟通的，业务部门就很买我的账，因为他们不想看到风险。一旦他们理解了你的目的，他们反而会成为风险管理强有力的助推器：他们不但支持你的观点，还会主动使用你推出的产品，这就是个巨大的成功。

    CIOI：作为一名CSO，你现在最担心的安全问题是什么？

    我最大的担忧是产品的知识产权问题。McAfee公司有优秀的研发人员，这些研发人员掌握着公司产品的宝贵数据和信息。我担心的是如何保护这些知识产权不被侵犯、不被别的公司盗用，以及这些数据的质量和一致性。

    CIOI：McAfee公司日常是如何控制安全风险的？

    我日常控制风险的工作就是管理风险、实施保护并进行评估。我们从评估做起，通过风险审计和评估来找出风险的根源。然后我们会模拟出很多解决方案的模型，和业务部门一起讨论找到他们想要的那种。对其完善后，再来评估这种选择是否有效。我们不断重复着这样的工作。

    听起来工作是很顺畅，但实际上这种日常工作也不断地被中断，一会儿发生违规事件，一会儿又有事故需要善后，同时一些政策法规又在不断变化，或是有新的诠释。总之，这是一个变化的、动态的环境，突发情况不断发生，使得看上去本应顺畅的工作因为不断的突发事件而变得非常复杂。

    CIOI：你也认为你的工作很复杂？

    的确，这个工作非常复杂。所以我们才需要模型、工具和安全专家来解决风险管理的问题。安全的环境是如此复杂，已不是专家单独的能力就可以解决的，而且安全的复杂性和突发性也需要借助计算机模型来模拟环境。我相信安全和风险管理的问题已经不是一个人或一个团队就可以解决的了。当然，你可以一个人去控制风险，也可以不借助计算机模型和模拟功能来评估，但我认为鉴于安全环境的复杂性，这是不现实的。如果你不采用计算机模拟安全风险的模型，我认为你就不可能真正理解安全风险管理。

    CIOI：如果连McAfee公司这样的安全供应商自己的CSO都觉得安全管理很复杂的话，可以想见其他企业在这方面会遇到怎样的挑战了。

    我认为如果其他公司也理解业务流程和业务方法论的话，安全流程就会变得简单多了。设想所有其他方面或业务部门都使用统一的方法论，我相信安全控制会变得越来越简单，直到有一天会变成常识性的东西，但这种改变需要付出努力和时间。这种变化是必然的，因为我们必须更有效地管理安全风险。

    不过我们没有取得理想的成功，这不是一蹴而就的事情，变革总是艰难的。但我坚信，只要你清楚你的目标是什么，让员工理解改变流程的价值所在，我们就会取得成功。我认为部署新技术遇到挑战是必然的，但在技术和流程的改变中你获取到的是价值，值得我们付出努力。

    CIOI：现在安全产品的复杂性已越来越令人头痛，彼此之间不能协同工作尤其令人惋惜，现在这种状况正在得到改善吗？

    是的，一定会改变的，但我很难断言会如何改善。以我为例，我作为McAfee公司的CSO，最让我头疼的问题是产品之间不能相互沟通。把所有的产品整合在一起，让它们协调一致地工作，这项工作的确让你备感挫折。不只是McAfee，还有许多其他及新兴的公司都有自己的安全产品，所以在每一个安全的环境里，你会发现来自不同供应商的安全产品的大杂烩。

    这的确是极大的挑战，但我们应该可以克服这个挑战，我已看到很多人在致力于解决这个难题，通过建立标准和双向交流等手段。我相信也希望问题可以解决，只是速度不会像我们希望的那么快。McAfee公司已经把所有的安全产品都整合到了一起，整合是我们的关键，我们希望这可以促进完全的整合和一元化的构架。

转自《CIO Insight》