专栏名称: 安在
人物、热点、互动、传播,最有内涵的信息安全新媒体。
目录
相关文章推荐
幸福东台  ·  情况通报 ·  12 小时前  
Datawhale  ·  突发!OpenAI官宣成为盈利性公司 ·  昨天  
Datawhale  ·  突发!OpenAI官宣成为盈利性公司 ·  昨天  
集邮本子  ·  抢购蛇币蛇钞上热搜的启示 ·  3 天前  
集邮本子  ·  抢购蛇币蛇钞上热搜的启示 ·  3 天前  
51好读  ›  专栏  ›  安在

【CSO】吉贻俊:如何让“生意人”理解安全的价值?

安在  · 公众号  · 互联网安全  · 2016-10-10 09:45

正文

*首席信息安全官(Chief Information Security Officer)*



身为外资企业亚太CISO,吉贻俊是江森自控全球信息安全团队核心总监,是列席于该公司全球信息安全领导团队唯一的中国人。他先后领导全球信息安全风险管理部门以及公司亚太CISO,制定并执行全球安全风控战略,以及亚洲信息安全战略。


吉贻俊坦言自己并非安全出身。之所以转做安全,是因为当时需要一个能和总公司用英文流畅沟通技术问题的人,而技术、英语都很好的吉贻俊,成了该职位的不二人员。


这种要求也凸显出,在跨国企业的中国子公司,CISO和本土企业职责上的不同。


无论是购买安全设备,还是建立安全制度,整个公司基本都是“全球同步”。吉贻俊带领的团队也是全球化的,他需要和各地同事充分沟通,为了配合全球同事的时间,深夜开会也是很正常的。


江森自控将安全作为服务质量的重要组成部分,因此公司高层也给了安全部门相对较高的预算。江森自控寻求能够更全面解决安全问题的企业,因为只有安全供应商尽可能少而优,才能减少因协调不兼容产生的管理成本。所以,他们的采购对象基本上都聚焦于Garter产品象限中的产品,而能纳入该象限的国内企业并不多。


从吉贻俊的安全管理心得上,你能看到作为跨国公司的安全诉求。对于当前已经在崛起的本土安全企业,面对越来越全球化的安全市场,能否把握住这个机遇,成为能否把握下一步发展的前提。







安在:江森自控一般对乙方有哪些要求?

吉贻俊:如果供应商不在“Garter产品象限”里,我们基本也是不考虑的。

中国没有哪个乙方能够提供一揽子解决方案,即使是全球供应商也很少能做到这一点。但外企甲方对于供应商的数量也会有要求,一般不会选择超过10个供应商。因为供应商数量多了之后,产品、服务之间协调管控难度很大。




安在:作为跨国企业的亚太CISO,你和安全企业接触有哪些感受和建议?

吉贻俊:甲方和乙方不同,很多乙方公司都是深入一块技术领域,将其做到极致。而我作为甲方关心的是,如何从业务视角去看待安全?当然,在外企里,很多安全决策都会放在全球总部,到了每个区域,很大一部分属于执行层面。而江森自控在这点上充分尊重和考虑区域性的差异,因地制宜,以此来适应本土过化过程中的外部威胁,以及业务的安全。

江森自控的运营遍及全球150多个国家,目前在亚洲的年营收额有50亿美元,按照公司规划,在接下来的5年里,亚洲的年营收额会成长至200亿美元。信息安全是脱离不开业务目标的,业务目标有调整,那么信息安全也需要做调整,所以我们现在也在做组织架构上的调整和变化。

一年半之前,全球总部斥巨资用于增强信息安全,开展了大约20多个项目。这些项目基本上都是全球统一实施,但会根据不同地区以及本土化差异,对有些部门加强保障。比如对于亚洲,因为业务的目标是5年翻4倍,安全也会有相应的侧重。所以,我们都是从业务角度去理解信息安全,而不会单纯谈论技术导向的信息安全。

我接触很多中国的乙方公司,他们将精力放在了做产品和营销上。但是我们更期望的是,能否站在甲方角度思考到底需要什么,以及提供相应的细化的解决方案。未来,中国是否应该有更多专注于信息安全的服务型公司,帮助企业制定和实施安全战略,这种形式有点类似安全咨询业务。

江森自控之所以会如此重视信息安全,是因为董事会非常重视安全之于产品服务稳定性的价值。因此,安全策略的落点,和业务目标是结合在一起的。




安在:作为CISO,你是如何确定安全投入?如何衡量其价值?

吉贻俊:信息安全在企业中的价值是毋庸置疑的,但是如何和业务部门解释其经济价值,是普遍难题。很少的企业能够提供信息安全的投入产出比,更多是基于感性的认知。

信息安全像汽车刹车。可能一个小小的安全事件,整个大厦就为之坍塌。

信息安全的投入也没有特别硬性的标准,最主要是管理层要重视,还有就是基于业务特性以及合规要求来主导。




安在:你是如何和董事会沟通的?

吉贻俊:对于现在的信息安全,技术并不是短板,很多公司都可以做到。但是,“生意人”对信息安全的理解并没有到达“技术人”的层次。

所以,我主要工作就是帮助他们理解安全问题,告诉他们因为信息安全问题,能导致最恶劣的情况是什么样的。如果领导觉得最差的情况都能够接受,说明他对于风险的容忍度很高。但是不提前理解安全是不行的。为了做到这个,CISO必须要用对方能理解并且关心的业务语言,去描述信息安全的价值。很多信息安全从业者,都是太关心技术问题,忽略了从“安全对业务的价值”这方面的阐述。

信息安全如果永远将自己定位在技术专家,不去理解营销、研发、调研部门的工作,你就很难和他们去沟通,你也不知道他们在说什么。所以,CISO要平衡好软实力和硬实力,一个合格的白帽不一定能做好CISO,一定要能够帮助公司在业务领域,去让其理解信息安全能够带给他们的价值。




安在:作为CISO,你是怎样开展工作的?

吉贻俊:信息安全不是只维护好相应的设备以及策略,需要理解业务,从管理层的风险容忍度着手,理解企业对于合规的要求,从框架结构着手,寻找信息安全的关键在哪些环节里面,能够做怎样的改进。

技术能力根本不能将你带到CISO这个职位,CISO不是一份容易的工作,需要懂业务、懂技术、懂安全、懂沟通,如果想在这个职位上有所成就,必须要不断地去探索,去理解整个企业框架,着眼全球大环境,发掘最适合自己企业的方向。




安在:您对白帽子是什么态度?

吉贻俊:我个人比较欢迎(挖漏)这种做法,但前提是通过合法的方式来挖掘漏洞,并且及时告知。如果是公司内部员工挖掘内部漏洞,我更会非常欢迎。

总而言之,白帽行为涉及人的道德底线,只要坚守底线,我们都是欢迎的。







扫描二维码 关注更多精彩


新锐丨大咖丨视频丨白帽丨在看



回复关键词获得关于安在更多信息