CIO应如何在提升企业运营效率时控制安全风险？

网络安全和数据隐私成为热门讨论话题，随着网络犯罪的日益猖獗，企业被攻击的次数也越来越多。企业的业务部门开始向CIO和IT部门寻求解决方案，CIO又该如何回应这样担心呢？白宫前CIO，现网络安全公司Fortalice首席执行官Theresa Payton，给出了他的一些建议。

问：我了解到由于近期一系列网络攻击事件被披露，网络安全已经成为本次研讨会上的重要议题，您认为企业CIO们该如何应对？

Theresa Payton：我看到这个势头。我认为这是一种非常有益的趋势——可以再更广的范围内讨论网络的风险和安全。我们该如何构建安全系统？企业在利用网络提升生产效率的同时又该如何控制潜在的风险？——这个讨论还将继续下去。

有个挺有趣的现象，我刚刚看过一份关于CIO和CEO就安全问题的研究报告，在报告的一个方面，CIO通常会说：“我向CEO汇报了安全方面的工作或者我向董事会介绍了安全方面的状况”。而报告接着就发现，当他们询问CEO们如何得到企业网络安全的报告时，只有三分之一的CEO表示他们记得看过这份报告。从这里我认为，CIO如何和上级沟通很重要，这种沟通不仅仅是安全报告上的专业术语堆积，而应该是关于安全对企业业务发展影响的分析和对策。

问：你在这方面有没有具体的建议？

Payton：我觉得应该去重新审视企业今年的战略目标，是三大主要战略还是五个？从这些战略目标是寻找到哪些与网络安全相关的议题。这样你在报告里就可以通过谈论企业今年的战略目标来带出对于网络安全的担忧和应对计划。在和董事会的汇报中，你需要站在董事会的角度去看待网络安全问题，让他们了解只有这些网络安全问题得到解决，企业的效益才能得到最大的提升。

问：非常使用的建议！那么企业在哪些方面可能会遇到网络安全问题？他们又该怎样应对？

Payton：其中一个领域便是近几年来炒得火热的社交媒体平台。很多企业并没有意识到这一点。首先使用社交媒体的是员工，其次再是企业。企业缺乏一些诸如“如果不是为了营销，那么不要使用社交媒体”的政策。

我来举个案例，我们只是利用社交媒体就猜测到一家公司数据中心的架构。我们的猜测先从社交媒体LinkedIn开始，那里有该公司员工的详细简历，接着我们又搜索到留言板和博客上的信息。这些都是可以查到的公开信息，通过对这些信息的重组和分析，你可以看到这家企业在社交媒体上面临着多大的风险。

问：市场上的安全供应商在提升企业安全方面有些可以尝试的工作？

Payton：市场上又很多关于安全的产品。购买最新的产品，可以有效的防御风险。我认为这是必须的，但这并不全面和整体化。我希望安全产品供应商，尤其是企业级的供应商，应该展示出其产品如何作为整体解决方案的一部分，而不能将它看成一个零和游戏：“因为你有预算，所以必须买我的产品。”作为安全产品供应商，真正需要思考的是从企业战略的层面考虑安全性的问题，告诉你的客户：“你应该了解到你们目前面临的风险，这些风险可能会对你的企业架构产生重大影响，而我们可以帮助你们解决这些风险”。在谈判桌上，你无需将竞争对手贬的一文不值，而只需告诉你的客户，你能提供的产品和服务可以最大限度的融入企业战略中，给企业发展保驾护航。

问：通常安全问题追根溯源都是人为疏忽，并非恶意所为，比如你的员工不该下载东西等，像这些的话都是缺乏对员工的教育。你觉得在企业内部谁是最适合将这些“禁令”信息传达给员工的人？他们又该采取哪些举措？

Payton：我觉得这取决是公司规模。你可能在董事会没有一个教育和培训人士，但如果你可以找到一个沟通方面的好手与企业安全专家一起工作，那无疑是最好不过的了，他们可以帮助开发一种对员工更友好，更自动化的安全提醒机制。但要记住，不要过度渲染这件事，而是要将其纳入企业文化和基因中。

不妨回忆一下我们在企业培训中取得了哪些进展，通常这类的企业内部培训是由HR组织的，但它会转变成企业文化的重要部分，那么安全方面的培训也是如此。这不仅仅是安全小组的分内事情，而应该变成企业文化的一部分。它不应该是一年一度的自我检查，而应该是日常工作。培训的第一阶段是对员工个人行为的关注，因为他们对自己的所作所为更清楚，也会对做过的哪些事情有印象，如果你可以训练他们懂得如何在家庭生活中的安全处理方式，那么他们在工作中也会有注意安全的良好习惯。