【CSO】吉贻俊：如何让“生意人”理解安全的价值？

*首席信息安全官(Chief Information Security Officer）*

身为外资企业亚太CISO，吉贻俊是江森自控全球信息安全团队核心总监，是列席于该公司全球信息安全领导团队唯一的中国人。他先后领导全球信息安全风险管理部门以及公司亚太CISO，制定并执行全球安全风控战略，以及亚洲信息安全战略。

吉贻俊坦言自己并非安全出身。之所以转做安全，是因为当时需要一个能和总公司用英文流畅沟通技术问题的人，而技术、英语都很好的吉贻俊，成了该职位的不二人员。

这种要求也凸显出，在跨国企业的中国子公司，CISO和本土企业职责上的不同。

无论是购买安全设备，还是建立安全制度，整个公司基本都是“全球同步”。吉贻俊带领的团队也是全球化的，他需要和各地同事充分沟通，为了配合全球同事的时间，深夜开会也是很正常的。

江森自控将安全作为服务质量的重要组成部分，因此公司高层也给了安全部门相对较高的预算。江森自控寻求能够更全面解决安全问题的企业，因为只有安全供应商尽可能少而优，才能减少因协调不兼容产生的管理成本。所以，他们的采购对象基本上都聚焦于Garter产品象限中的产品，而能纳入该象限的国内企业并不多。

从吉贻俊的安全管理心得上，你能看到作为跨国公司的安全诉求。对于当前已经在崛起的本土安全企业，面对越来越全球化的安全市场，能否把握住这个机遇，成为能否把握下一步发展的前提。

安在：江森自控一般对乙方有哪些要求？

吉贻俊：如果供应商不在“Garter产品象限”里，我们基本也是不考虑的。

中国没有哪个乙方能够提供一揽子解决方案，即使是全球供应商也很少能做到这一点。但外企甲方对于供应商的数量也会有要求，一般不会选择超过10个供应商。因为供应商数量多了之后，产品、服务之间协调管控难度很大。

安在：作为跨国企业的亚太CISO，你和安全企业接触有哪些感受和建议？

吉贻俊：甲方和乙方不同，很多乙方公司都是深入一块技术领域，将其做到极致。而我作为甲方关心的是，如何从业务视角去看待安全？当然，在外企里，很多安全决策都会放在全球总部，到了每个区域，很大一部分属于执行层面。而江森自控在这点上充分尊重和考虑区域性的差异，因地制宜，以此来适应本土过化过程中的外部威胁，以及业务的安全。

江森自控的运营遍及全球150多个国家，目前在亚洲的年营收额有50亿美元，按照公司规划，在接下来的5年里，亚洲的年营收额会成长至200亿美元。信息安全是脱离不开业务目标的，业务目标有调整，那么信息安全也需要做调整，所以我们现在也在做组织架构上的调整和变化。

一年半之前，全球总部斥巨资用于增强信息安全，开展了大约20多个项目。这些项目基本上都是全球统一实施，但会根据不同地区以及本土化差异，对有些部门加强保障。比如对于亚洲，因为业务的目标是5年翻4倍，安全也会有相应的侧重。所以，我们都是从业务角度去理解信息安全，而不会单纯谈论技术导向的信息安全。

我接触很多中国的乙方公司，他们将精力放在了做产品和营销上。但是我们更期望的是，能否站在甲方角度思考到底需要什么，以及提供相应的细化的解决方案。未来，中国是否应该有更多专注于信息安全的服务型公司，帮助企业制定和实施安全战略，这种形式有点类似安全咨询业务。

江森自控之所以会如此重视信息安全，是因为董事会非常重视安全之于产品服务稳定性的价值。因此，安全策略的落点，和业务目标是结合在一起的。

安在：作为CISO，你是如何确定安全投入？如何衡量其价值？

吉贻俊：信息安全在企业中的价值是毋庸置疑的，但是如何和业务部门解释其经济价值，是普遍难题。很少的企业能够提供信息安全的投入产出比，更多是基于感性的认知。

信息安全像汽车刹车。可能一个小小的安全事件，整个大厦就为之坍塌。

信息安全的投入也没有特别硬性的标准，最主要是管理层要重视，还有就是基于业务特性以及合规要求来主导。

安在：你是如何和董事会沟通的？

吉贻俊：对于现在的信息安全，技术并不是短板，很多公司都可以做到。但是，“生意人”对信息安全的理解并没有到达“技术人”的层次。

所以，我主要工作就是帮助他们理解安全问题，告诉他们因为信息安全问题，能导致最恶劣的情况是什么样的。如果领导觉得最差的情况都能够接受，说明他对于风险的容忍度很高。但是不提前理解安全是不行的。为了做到这个，CISO必须要用对方能理解并且关心的业务语言，去描述信息安全的价值。很多信息安全从业者，都是太关心技术问题，忽略了从“安全对业务的价值”这方面的阐述。

信息安全如果永远将自己定位在技术专家，不去理解营销、研发、调研部门的工作，你就很难和他们去沟通，你也不知道他们在说什么。所以，CISO要平衡好软实力和硬实力，一个合格的白帽不一定能做好CISO，一定要能够帮助公司在业务领域，去让其理解信息安全能够带给他们的价值。

安在：作为CISO，你是怎样开展工作的？

吉贻俊：信息安全不是只维护好相应的设备以及策略，需要理解业务，从管理层的风险容忍度着手，理解企业对于合规的要求，从框架结构着手，寻找信息安全的关键在哪些环节里面，能够做怎样的改进。

技术能力根本不能将你带到CISO这个职位，CISO不是一份容易的工作，需要懂业务、懂技术、懂安全、懂沟通，如果想在这个职位上有所成就，必须要不断地去探索，去理解整个企业框架，着眼全球大环境，发掘最适合自己企业的方向。

安在：您对白帽子是什么态度？

吉贻俊：我个人比较欢迎（挖漏）这种做法，但前提是通过合法的方式来挖掘漏洞,并且及时告知。如果是公司内部员工挖掘内部漏洞，我更会非常欢迎。

总而言之，白帽行为涉及人的道德底线，只要坚守底线，我们都是欢迎的。