张俊贤,普华永道中国中区网络安全服务合伙人,毕业于香港科技大学。
在大学的最后一年,张俊贤成为了摩托罗拉公司的实习生,主要工作是对抗当时席卷全球的千年虫病毒,以及使用当时还是新技术的JAVA编写生产计划程序。大学毕业后加入普华永道(下称普华)香港,从事信息安全相关工作,五年后转到普华永道上海,2014年成为这家全球最大会计师事务所的中国合伙人。
本文采取问答方式还原采访现场
做审计的四大,为何会涉足安全咨询领域?
问
:
四大的传统是做会计、审计工作,为什么会选择涉足信息安全领域?
答
:
在电脑普及之前,审计工作基本上是全手工,审账目、拉单据,看账本上记的金额和会计处理方法是否有重大差异。以前审计需要比较多的人员,工作底稿也是员工一张一张写,跟现在每个员工配备一部手提电脑,也可以使用手机和平板电脑完成工作很不一样。
随着一些大企业,比如银行、电力公司、航运企业等,他们的财务管理与生产流程自动化与数据化了,审计行业也需要与时并进。我们开始对客户的系统和数据进行审计,因此审计团队中会配备数名电脑审计师进行数据抽取、分析,以及对系统管理和安全进行内控审计工作。
普华是行业里比较早成立电脑审计部的,由于我们审计客户的数量很多,他们的规模也比较大,对系统管理和安全有比较高的投入。所谓见多识广,加上我们电脑审计团队的前辈的不断钻研,我们一步步地建立了我们对信息安全的知识库和最佳实践模板。
问
:
是怎么考虑要单独做安全咨询业务的?
答
:
其实是
很自然的事。由于
我们建立了全球性的知识库,并于每个IT领域挑选比较先进的案例,形成最佳实践(Best Practice)模板,因此很多客户也希望我们能对他们的系统、网络和管理提供专业的信息安全咨询服务。
特别是2000年后,香港出现了很多网站,他们募集资金上市,用户与投资者都对他们的安全性很关注,银行也推出了电子银行服务,监管机构也制定了独立安全评估要求,于是我们就在普华香港成立了一个网络安全队伍,并在中环长江中心建立了我们第一个网络安全实验室,我有幸参与了实验室的建设,后来我们在上海和北京也建立了网络安全实验室,我们的同事可以在里面测试最新的网络安全检测工具和进行受客户委托的模拟网络攻击。
问
:
普华的安全咨询业务,
从香港发展到内地,经历了怎么样的过程?
答
:
随着经济发展,内地企业在网络安全方面的需求也快速的增加,比如银监会在2006年出台了网上银行安全标准与独立评估要求。刚开始的时候是从香港派人来内地做项目,后来公司决定在北京和上海建立团队,以便更好的与客户和监管当局沟通。
我到上海后第一个信息安全项目就是为一家银行的网上银行系统进行安全评估。当时客户和本地员工对网络安全的了解也在始步阶段,我们用了不少时间培养本地员工的技术,鼓励他们考取专业认证,也常常到客户那里举办安全培训,这些都是很好的经验和回忆。
问
:
普华在安全方面的客户,是传统的金融类外企,还是各种类型的都有?
答
:
过去以外企为主。近年随着国内企业的快速壮大,现在上海
大概是民企、国企、外企各三份之一,在北京国企的比例会稍为高一点。
问
:
国内外企业看待信息安全咨询的差别在哪儿?
答
:
国内企业一般希望短时间内能有可量化的价值。
外企相对更重视文化建设和员工的安全意识和操守。相对没那么在意短期可量化的效果。
系统、流程、人,哪一环最容易成为安全的短板?
问
:
普华或者说四大,对信息安全的理解是怎么样的?
答
:
以普华来说,我们认为信息安全是由三部分组成的,分别是:
系统、流程和人
。像一个三角凳, 缺一不可,亦不能偏颇。
目前国内很多的公司,他们非常注重系统硬软件的规格,但对流程和人这两个环节没有给予足够的关注。
他们可以花很多钱去买硬件和软件,比如等级很高的路由器、防火墙,但是他可能不愿意制定一套严谨可落实得流程制度,更不愿意认真地对员工进行持续、有效果的信息安全培训。
我们常说“短板效应”。
信息安全的强度其实是看最弱的那一环,哪怕系统很强,但流程和人很弱的话,那么你的强度就是最弱的那一环的强度。
事实上,很多在国内企业发生的安全事件,事故原因往往不是硬件规格不够,而是操作执行的问题,比如系统管理员制定了弱密码,或者是在系统开了个小后门,方便在家连线工作。归根到底就是人的问题,。
问
:
根据你的观察,在你到
上海的十年间,企业关于流程和人意识有变化吗?
答
:
是有进步的,尤其是最近几年,相信公司管理层也发现之前发生的安全事故很多的根源都在流程和人。
在上海,我们在过去为不少企业进行员工安全意识培训和流程制度优化,有部分项目是因为公司发生了安全事故而立项的。
问
:
国企、民企、外企,三类企业的信息安全诉求有差异吗,如果有,在哪里?
答
:
不能一概而论,但经验上
国企对合规非常重视,尤其是近年国家一直强调网络安全的重要性。
民企更多是真的有需要,不做不行,或者做了对它的营销有帮助,例如拿出一个ISO27001
报告,对它的招投标有帮助。
对外企来说,第一是合规,因为国外的企业来到一个陌生的环境,很谨慎;第二是知识产权(商业秘密)的保护,国外的企业会比较担心,害怕被竞争对手盗取了他们的机密信息。
信息安全为什么会成为商业竞争的重要抓手?
问
:
那是不是意味着信息安全已经变成商业竞争的抓手?
答
:
可以说是的。这是一个演变的过程,最早信息安全的事故是不小心,最多自己不小心删掉了什么数据,或者系统坏了,这既不是外部干扰,也不是系统大规模的瘫痪。
