安全性一直是大家的當務之急，社會改革自身的機構以避免混亂和遺忘的例子數不勝數。在羅馬帝國大約五個世紀之前的羅馬王國，當地的皇家執政官(“調查員”)的任務是調查謀殺案。幾乎在同一時期，晉國的縣令負責巡視土地和刑事調查。還有近代的，1829年的“大都市警察法案(Metropolitan Police Act)”為倫敦提供了第一批督察和警察——首先是在白廳宮的建筑物中，后來在附近的大蘇格蘭場(Great Scotland Yard)。

 

如今，組織安全幾乎完全是技術安全的代名詞。首席信息官不僅充當技術捍衛者的角色—(而且他們以自己的方式擔任執政官，縣令和警察)。

 

范德堡大學歐文管理學院的院長M. Eric Johnson說：“對于很多組織來說，首席信息官是保護寶貴數據的關鍵領導者。大部分安全投資都進了首席信息官的組織中，雖然這種做法并不普遍。”

 

Johnson稱，首席信息官的職責面臨眾多挑戰。其中最主要的挑戰是“在降低風險與促進企業創新和增長的戰略之間取得平衡”。

 

Johnson補充道：“過于嚴格的安全性會產生不同的風險——限制信息交換和創造力可能會威脅到公司的競爭生存能力。對漏洞的不當反應(所有公司都以某種方式遭到破壞)可能導致其它業務方面的惡化。”

 

他總結道：“安全性是人類和技術要面臨的共同挑戰，可靠的網絡安全需要一個由三部分組成的策略：1)在技術上出色地實施最起碼要具備的東西，2)旨在提高員工、供應商和管理人員認知的持續教育，以及3)建立一支積極性、技術水平和創新能力不亞于壞人的安全團隊。”

 

在本期《轉型國家(Transformation Nation)》中，首席信息官描繪了自己的IT安全理念——來自網絡安全戰略前沿的第一手消息。公司聲譽，經濟福利和個人安全受損會產生重大的影響。首席信息官們通過現身說法，揭示了他們在應用和溝通方面每天都在努力應對的無數緊張時刻。

 

 

我用三個很好記的陳述來傳達我的安全理念：

 

首席信息官有兩類：那些遭到攻擊時了然于胸的人以及那些遭到擊時渾然不覺的人。對首席信息官來說最可怕的事情就是安全團隊因為沒有發現漏洞而告訴我們一切安好。潛在的漏洞太多了，而且很多人試圖攻擊，因為很可能大多數企業(無論它們的安全計劃有多完善)都被黑客攻擊過。

 

面對這樣的現實，我可以像胎兒一樣蜷縮在角落里，但這于事無補。相反，我知道我最寶貴的資產是什么，并利用額外的資源來保護和監控這些資產。這并不意味著我會放棄對周邊和其它資產的保護。我只是假設周邊遭到了破壞并對我最關心的問題采取額外的保護和監控措施。這降低了黑客破壞這些資產的可能性，如果他們確實破壞了這些資產，在我還沒察覺之前，這降低了他們泄露我的數據的機會。

 

你的抗攻擊能力必須比一般人強。我們中有些人擁有黑客特別感興趣的數據。但這是例外。在大多數情況下，很多人的數據都大同小異。我的患者數據與我國其它任何醫療系統里的數據沒有什么不同。因此，如果我所具備的安全性足以阻止攻擊者，那么他們會轉而攻擊他們認為更易受攻擊的人。我以一種自私的方式降低了風險，但如果我們所有人都這么做，我們將提高集體門檻，讓壞人沒那么容易得逞。

 

用戶(我們所有人)是我們最薄弱的環節和最大的資產。如今做一名最終用戶真的不容易。黑客變得越來越老練。我們受到了從國家行為體(nation-state actors)到腳本小子(script kiddie)等所有人的攻擊。破英語(broken English)中的網絡釣魚消息被復雜且令人信服的攻擊所取代，這些攻擊會向經驗豐富的技術人員和普通用戶發起挑戰。但不管怎么樣，我們的用戶仍然可以發現和舉報攻擊。在這種環境中，我們需要不斷地教育用戶，并在他們陷入困境時替他們著想。我們要在這場斗爭中將他們變成盟友，因為成千上萬學識淵博的用戶可以成為我們最大的資產。

 

當我與安全團隊交談時，我將以非常迥異的方式描述我的優先事項。我會談到制定系統安全計劃、保護外圍和高價值資產、審計以及維護良好的網絡衛生。但是在一個小小的技術圈外談論那些事情會叫人一臉茫然。絕大多數員工只要了解怎么做貢獻就可以了。

 

上述三個想法都很簡單易記。我一有機會就談論安全性話題，而且我總是談論這三個想法中的一個或多個。我告訴用戶他們的幫助很重要，還有就是他們如何幫助我們維護安全。我告訴工程師和設計師他們在安全性方面的設計是多么重要，我告訴系統管理員和服務臺員工他們如何確保我們實施安全控制。

 

這三個簡單的理念幾乎適用于所有人，并幫助所有人記住他們的行為對保護我們的企業的重要性。

 

 

我的IT安全理念有兩個主要原則。第一個原則是，我們要立即積極應對風險：我們不要坐等風險惡化。在一些組織中，人們很難獲得所需的支持和資金來解決哪怕是潛在問題的事物。但這就恰恰是風險變成漏洞的途徑，這就是太多的組織未能及早汲取教訓給我們帶來的啟示。

 

第二個原則是我們的安全性的強弱取決于安全性最薄弱的組成部分。采取多層次、整體的安全觀——從外圍防御到我們的員工的行動，再到與我們合作的外部組織，以了解和解決不斷變化的威脅形勢，這至關重要。

 

對安全性的信息傳播可以歸結為治理、行動和教育。

 

治理是權威、決策和監督的聯合，它使我們能夠確定安全優先級并實現行動。治理是我們的組織的這一能力的關鍵部分——按照安全理念行事并通過積極的領導承諾強調這項工作的重要性的關鍵部分。

 

我們所采取的行動對于傳播這一理念也至關重要。當我們主動負責在數十萬臺設備上推出軟件更新和安全補丁的復雜過程時，人們會注意到的。他們會看到我們的組織為了在風險惡化前應對風險并確保我們在安全鏈(security chain)中加強這一環節而做的投資。

 

最后但同樣重要的是，我們專注于教育員工。雖然我們采取全面措施來防止我們的員工收到惡意電子郵件，但我們知道沒有刀槍不入的防御措施。我們的首要任務是通過培訓和實際演練來教育我們的員工，以檢測惡意電子郵件、網絡釣魚嘗試等，并舉報任何可疑的內容。這是一項持之以恒的活動，旨在使我們的員工成為防守的積極力量。

 

我們還在領導力會議上也以安全性為重點，以確保我們在業務風險以及我們應對這些風險的戰略的重要性方面不斷向高級領導層提供最新情況。

 

 

IT安全性是不可避免的災禍。它耗掉大量資金，給客戶帶來了不便(你認識哪怕一個喜歡安全密碼的人嗎?)并且耗費了IT員工的時間，這些時間本來可能會用于幫助客戶實現解決方案，以增強其組織的業務模式。但這樣的災難是必要的。

 

我們必須保護網絡上的數據的機密性、完整性和可用性，這當然意味著人們要保護網絡。竅門在于找到最具成本效益的方法，這和像其它決策領域沒有什么兩樣。

 

IT安全性事關風險承受和風險規避。這有點像循環分析。

 

首先，你要知道組織對風險的承受能力有多大。其次，你要完成IT安全風險評估，以確定風險是什么——并優先考慮產生問題的風險，以將重點放在最有利于組織的問題上。第三，你需要確定解決每種風險的成本。很多時候，成本會促使組織對“可接受風險”的定義進行調整。人們必須了解這兩種風險之間的矛盾——高效運營必須應對的風險和在沒有業務案例可依據的情況下要應對的風險(因為解決這些風險成本高昂，但這樣的行動并未給組織帶來好處)。

 

安全性的亂象也是人的亂象。無論在工具、監控、自動化等方面花費多少，如果沒有針對員工的良好安全教育計劃，風險可能會高于已被定義為可接受的風險。我們的安全計劃包括強制性在線課程和使用有針對性的網絡釣魚活動作為教育工具。如果員工受到了釣魚攻擊，他們會立即收到反饋，教他們要采取什么措施以及如何確定此特定活動存在問題。

 

初期培訓(initial orientation)期間的每位新員工都會獲得有關IT安全性的簡報。此外，我們組織的主管每六個月為新員工提供更廣泛的指導。在這個培訓中，我強調他們的職責——使組織免受惡意軟件和不受歡迎的入侵的攻擊。

 

在我所從事的組織的所有領域，高層級別都對IT安全性的需求十分了解。在某種程度上，這是通過強調世界各地所有類型和規模的組織中出現的無休止的安全漏洞來實現的。由于得到了行政級別的認可，新安全措施廣受歡迎，只要這些措施足夠周全就可以了。

 

我們正在開展的另一項活動是同行共享。我在政府部門工作。在德克薩斯州中北部地區，有近250個政府組織，包括來自市、縣、水區、污水區、學區等其它行政單位的組織。很多組織都非常希望定期會見并討論IT安全性話題：當前問題、解決方法、經驗教訓等。這實際上是政府部門優于私營部門的一個地方。這里沒有商業機密要保護，因此信息共享十分自由。