张俊贤,普华永道中国中区网络安全服务合伙人,毕业于香港科技大学。
在大学的最后一年,张俊贤成为了摩托罗拉公司的实习生,主要工作是对抗当时席卷全球的千年虫病毒,以及使用当时还是新技术的JAVA编写生产计划程序。大学毕业后加入普华永道(下称普华)香港,从事信息安全相关工作,五年后转到普华永道上海,2014年成为这家全球最大会计师事务所的中国合伙人。
本文采取问答方式还原采访现场
做审计的四大,为何会涉足安全咨询领域?
问:四大的传统是做会计、审计工作,为什么会选择涉足信息安全领域?
答:在电脑普及之前,审计工作基本上是全手工,审账目、拉单据,看账本上记的金额和会计处理方法是否有重大差异。以前审计需要比较多的人员,工作底稿也是员工一张一张写,跟现在每个员工配备一部手提电脑,也可以使用手机和平板电脑完成工作很不一样。
随着一些大企业,比如银行、电力公司、航运企业等,他们的财务管理与生产流程自动化与数据化了,审计行业也需要与时并进。我们开始对客户的系统和数据进行审计,因此审计团队中会配备数名电脑审计师进行数据抽取、分析,以及对系统管理和安全进行内控审计工作。
普华是行业里比较早成立电脑审计部的,由于我们审计客户的数量很多,他们的规模也比较大,对系统管理和安全有比较高的投入。所谓见多识广,加上我们电脑审计团队的前辈的不断钻研,我们一步步地建立了我们对信息安全的知识库和最佳实践模板。
问:是怎么考虑要单独做安全咨询业务的?
答:其实是很自然的事。由于我们建立了全球性的知识库,并于每个IT领域挑选比较先进的案例,形成最佳实践(Best Practice)模板,因此很多客户也希望我们能对他们的系统、网络和管理提供专业的信息安全咨询服务。
特别是2000年后,香港出现了很多网站,他们募集资金上市,用户与投资者都对他们的安全性很关注,银行也推出了电子银行服务,监管机构也制定了独立安全评估要求,于是我们就在普华香港成立了一个网络安全队伍,并在中环长江中心建立了我们第一个网络安全实验室,我有幸参与了实验室的建设,后来我们在上海和北京也建立了网络安全实验室,我们的同事可以在里面测试最新的网络安全检测工具和进行受客户委托的模拟网络攻击。
问:普华的安全咨询业务,从香港发展到内地,经历了怎么样的过程?
答:随着经济发展,内地企业在网络安全方面的需求也快速的增加,比如银监会在2006年出台了网上银行安全标准与独立评估要求。刚开始的时候是从香港派人来内地做项目,后来公司决定在北京和上海建立团队,以便更好的与客户和监管当局沟通。
我到上海后第一个信息安全项目就是为一家银行的网上银行系统进行安全评估。当时客户和本地员工对网络安全的了解也在始步阶段,我们用了不少时间培养本地员工的技术,鼓励他们考取专业认证,也常常到客户那里举办安全培训,这些都是很好的经验和回忆。
问:普华在安全方面的客户,是传统的金融类外企,还是各种类型的都有?
答:过去以外企为主。近年随着国内企业的快速壮大,现在上海大概是民企、国企、外企各三份之一,在北京国企的比例会稍为高一点。
问:国内外企业看待信息安全咨询的差别在哪儿?
答:国内企业一般希望短时间内能有可量化的价值。
外企相对更重视文化建设和员工的安全意识和操守。相对没那么在意短期可量化的效果。
系统、流程、人,哪一环最容易成为安全的短板?
问:普华或者说四大,对信息安全的理解是怎么样的?
答:以普华来说,我们认为信息安全是由三部分组成的,分别是:系统、流程和人。像一个三角凳, 缺一不可,亦不能偏颇。
目前国内很多的公司,他们非常注重系统硬软件的规格,但对流程和人这两个环节没有给予足够的关注。
他们可以花很多钱去买硬件和软件,比如等级很高的路由器、防火墙,但是他可能不愿意制定一套严谨可落实得流程制度,更不愿意认真地对员工进行持续、有效果的信息安全培训。
我们常说“短板效应”。信息安全的强度其实是看最弱的那一环,哪怕系统很强,但流程和人很弱的话,那么你的强度就是最弱的那一环的强度。事实上,很多在国内企业发生的安全事件,事故原因往往不是硬件规格不够,而是操作执行的问题,比如系统管理员制定了弱密码,或者是在系统开了个小后门,方便在家连线工作。归根到底就是人的问题,。
问:根据你的观察,在你到上海的十年间,企业关于流程和人意识有变化吗?
答:是有进步的,尤其是最近几年,相信公司管理层也发现之前发生的安全事故很多的根源都在流程和人。
在上海,我们在过去为不少企业进行员工安全意识培训和流程制度优化,有部分项目是因为公司发生了安全事故而立项的。
问:国企、民企、外企,三类企业的信息安全诉求有差异吗,如果有,在哪里?
答:不能一概而论,但经验上国企对合规非常重视,尤其是近年国家一直强调网络安全的重要性。
民企更多是真的有需要,不做不行,或者做了对它的营销有帮助,例如拿出一个ISO27001
报告,对它的招投标有帮助。
对外企来说,第一是合规,因为国外的企业来到一个陌生的环境,很谨慎;第二是知识产权(商业秘密)的保护,国外的企业会比较担心,害怕被竞争对手盗取了他们的机密信息。
信息安全为什么会成为商业竞争的重要抓手?
问:那是不是意味着信息安全已经变成商业竞争的抓手?
答:可以说是的。这是一个演变的过程,最早信息安全的事故是不小心,最多自己不小心删掉了什么数据,或者系统坏了,这既不是外部干扰,也不是系统大规模的瘫痪。
到了互联网时代,开始有主动攻击,但大部分也是一些小伙子贪玩,故意进到系统里,做一些黑客的工作,比如监控、窃取、修改数据等。
再到后来可能是有组织的行为,包括行业、联盟、甚至是国家的行为,不止是偷取你的数据,而是真实影响到你的生活,甚至人身财产安全都有可能被威胁。
所以越是智能时代,信息安全和人就贴的越紧密,对商业竞争的影响肯定会更大。
云平台、物联网、移动化……未来的信息安全产业会如何发展?
问:你对未来技术发展的预期怎么样?
答:过去做信息安全比较分散,一个企业就要做它自己的信息安全。但随着云计算、共享经济的诞生,越来越多的信息安全产业被整合到云平台上操作:从前五十个数据中心,五十个机房,五十个潜在客户,现在大家都用一个云平台。
还有物联网越来越零散,过去还有一台实体电脑,未来可能没有电脑了,甚至没有服务器,都是P2P的操作,包括手机、可移动的穿戴设备,这些要怎么做信息安全,会是另外一层级的挑战。
就像之前说的,技术会变,系统会变,但万变不离其宗,流程和人仍然是关键,我们过去擅长的那两块,会继续保持它们的价值。
问:未来流程和人的模式会不会也有一些变化和演进?
答:过去我们做流程和人的信息安全,看一个员工在电脑面前是怎么做,就可以了。现在大家有时候不用电脑,用手机随时随地就做了,工作场景不一样了。
所以我们也接触了很多做移动安全设备商,学习他们怎么让平板、手机更安全。
比如公司为员工配一部工作手机,员工连到公司的WiFi上,或者安装一些软件的话,软件能随时随地看到员工位置、当天打了什么电话、发了什么短信,遥控地去看到手机上面的一些图片。
但是另外一个方面,这又涉及到员工个人隐私的问题。所以总的来说,个人信息安全和公司商业信息安全如何平衡,怎么样设立一个标准的保护机制,就是未来的挑战。
问:兼顾个人和公司,你觉得要怎么做?
答:最重要的是公司要先说清楚对那部手机在什么时间、地点,会监控什么,员工也要分清手机是私人用途还是工作用途。
如果公司没讲清楚,员工知道被监控可能会很反感,现在出来工作的人年龄越来越轻,年轻人对自己的私人空间要求也不一样。
安在关注网络安全领域的价值发现和趋势,关注该领域的大小人物和大小公司,如果您希望寻求报道,或者爆料,欢迎随时和我们联系。我们将以最专业的自媒体团队,做出有价值有看点的报道。让您的故事被更多人了解,让您的项目第一时间受到投资人的关注。
可以发送相关请求到[email protected] ,也可以添加小编微信,提交报道申请,需要强调的是,我们不做任何收费报道,不接受任何软文请求。
回复关键字,看最经典的黑客传奇
回复010:原创 | 智者大潘
回复011:原创 | 360谭晓生的方法论
回复012:原创 | 龚蔚:我不是黑客教父
回复013:原创 | Ucloud之父季昕华
回复014:原创 | “苹果”是我干掉的,韩争光
回复015:原创 | 云舒,我为什么要离开阿里
回复016:原创 | TK,从妇科圣手到黑客教主
回复017:原创 | 乌云来了,我是方小顿
回复018:原创 | 破解了特斯拉的林伟
回复019:原创 | 刺风有道,吴翰清的云端飞扬
回复020:原创 | 铁马“冰河”,侠骨黄鑫
扫描二维码 关注更多精彩
新锐丨大咖丨视频丨白帽丨在看
回复关键词获得关于安在更多信息