網(wǎng)絡(luò)安全和數(shù)據(jù)隱私成為在麥迪遜舉辦的CEO-CIO研討會(huì)的熱門討論話題，隨著網(wǎng)絡(luò)犯罪的日益猖獗，企業(yè)被攻擊的次數(shù)也越來(lái)越多。企業(yè)的業(yè)務(wù)部門開始向CIO和IT部門尋求解決方案，CIO又該如何回應(yīng)這樣擔(dān)心呢？白宮前CIO，現(xiàn)網(wǎng)絡(luò)安全公司Fortalice LLC CEO Theresa Payton先生，會(huì)給出他的一些建議。

問(wèn)：我了解到由于近期一系列網(wǎng)絡(luò)攻擊事件被披露，網(wǎng)絡(luò)安全已經(jīng)成為本次研討會(huì)上的重要議題，您認(rèn)為企業(yè)CIO們?cè)撊绾螒?yīng)對(duì)？

Theresa Payton：我看到這個(gè)勢(shì)頭。我認(rèn)為這是一種非常有益的趨勢(shì)——可以再更廣的范圍內(nèi)討論網(wǎng)絡(luò)的風(fēng)險(xiǎn)和安全。我們?cè)撊绾螛?gòu)建安全系統(tǒng)？企業(yè)在利用網(wǎng)絡(luò)提升生產(chǎn)效率的同時(shí)又該如何控制潛在的風(fēng)險(xiǎn)？——這個(gè)討論還將繼續(xù)下去。

有個(gè)挺有趣的現(xiàn)象，我剛剛看過(guò)一份關(guān)于CIO和CEO就安全問(wèn)題的研究報(bào)告，在報(bào)告的一個(gè)方面，CIO通常會(huì)說(shuō)：“我向CEO匯報(bào)了安全方面的工作或者我向董事會(huì)介紹了安全方面的狀況”。而報(bào)告接著就發(fā)現(xiàn)，當(dāng)他們?cè)儐?wèn)CEO們?nèi)绾蔚玫狡髽I(yè)網(wǎng)絡(luò)安全的報(bào)告時(shí)，只有三分之一的CEO表示他們記得看過(guò)這份報(bào)告。從這里我認(rèn)為，CIO如何和上級(jí)溝通很重要，這種溝通不僅僅是安全報(bào)告上的專業(yè)術(shù)語(yǔ)堆積，而應(yīng)該是關(guān)于安全對(duì)企業(yè)業(yè)務(wù)發(fā)展影響的分析和對(duì)策。

問(wèn)：你在這方面有沒有具體的建議？

Payton：我覺得應(yīng)該去重新審視企業(yè)今年的戰(zhàn)略目標(biāo)，是三大主要戰(zhàn)略還是五個(gè)？從這些戰(zhàn)略目標(biāo)是尋找到哪些與網(wǎng)絡(luò)安全相關(guān)的議題。這樣你在報(bào)告里就可以通過(guò)談?wù)撈髽I(yè)今年的戰(zhàn)略目標(biāo)來(lái)帶出對(duì)于網(wǎng)絡(luò)安全的擔(dān)憂和應(yīng)對(duì)計(jì)劃。在和董事會(huì)的匯報(bào)中，你需要站在董事會(huì)的角度去看待網(wǎng)絡(luò)安全問(wèn)題，讓他們了解只有這些網(wǎng)絡(luò)安全問(wèn)題得到解決，企業(yè)的效益才能得到最大的提升。

問(wèn)：非常使用的建議!那么企業(yè)在哪些方面可能會(huì)遇到網(wǎng)絡(luò)安全問(wèn)題？他們又該怎樣應(yīng)對(duì)？

Payton：其中一個(gè)領(lǐng)域便是近幾年來(lái)炒得火熱的社交媒體平臺(tái)。很多企業(yè)并沒有意識(shí)到這一點(diǎn)。首先使用社交媒體的是員工，其次再是企業(yè)。企業(yè)缺乏一些諸如“如果不是為了營(yíng)銷，那么不要使用社交媒體”的政策。

我來(lái)舉個(gè)案例，我們只是利用社交媒體就猜測(cè)到一家公司數(shù)據(jù)中心的架構(gòu)。我們的猜測(cè)先從社交媒體LinkedIn開始，那里有該公司員工的詳細(xì)簡(jiǎn)歷，接著我們又搜索到留言板和博客上的信息。這些都是可以查到的公開信息，通過(guò)對(duì)這些信息的重組和分析，你可以看到這家企業(yè)在社交媒體上面臨著多大的風(fēng)險(xiǎn)。

問(wèn)：市場(chǎng)上的安全供應(yīng)商在提升企業(yè)安全方面有些可以嘗試的工作？

Payton：市場(chǎng)上又很多關(guān)于安全的產(chǎn)品。購(gòu)買最新的產(chǎn)品，可以有效的防御風(fēng)險(xiǎn)。我認(rèn)為這是必須的，但這并不全面和整體化。我希望安全產(chǎn)品供應(yīng)商，尤其是企業(yè)級(jí)的供應(yīng)商，應(yīng)該展示出其產(chǎn)品如何作為整體解決方案的一部分，而不能將它看成一個(gè)零和游戲：“因?yàn)槟阌蓄A(yù)算，所以必須買我的產(chǎn)品。”作為安全產(chǎn)品供應(yīng)商，真正需要思考的是從企業(yè)戰(zhàn)略的層面考慮安全性的問(wèn)題，告訴你的客戶：“你應(yīng)該了解到你們目前面臨的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)可能會(huì)對(duì)你的企業(yè)架構(gòu)產(chǎn)生重大影響，而我們可以幫助你們解決這些風(fēng)險(xiǎn)”。在談判桌上，你無(wú)需將競(jìng)爭(zhēng)對(duì)手貶的一文不值，而只需告訴你的客戶，你能提供的產(chǎn)品和服務(wù)可以最大限度的融入企業(yè)戰(zhàn)略中，給企業(yè)發(fā)展保駕護(hù)航。

問(wèn)：通常安全問(wèn)題追根溯源都是人為疏忽，并非惡意所為，比如你的員工不該下載東西等，像這些的話都是缺乏對(duì)員工的教育。你覺得在企業(yè)內(nèi)部誰(shuí)是最適合將這些“禁令”信息傳達(dá)給員工的人？他們又該采取哪些舉措？

Payton：我覺得這取決是公司規(guī)模。你可能在董事會(huì)沒有一個(gè)教育和培訓(xùn)人士，但如果你可以找到一個(gè)溝通方面的好手與企業(yè)安全專家一起工作，那無(wú)疑是最好不過(guò)的了，他們可以幫助開發(fā)一種對(duì)員工更友好，更自動(dòng)化的安全提醒機(jī)制。但要記住，不要過(guò)度渲染這件事，而是要將其納入企業(yè)文化和基因中。

不妨回憶一下我們?cè)谄髽I(yè)培訓(xùn)中取得了哪些進(jìn)展，通常這類的企業(yè)內(nèi)部培訓(xùn)是由HR組織的，但它會(huì)轉(zhuǎn)變成企業(yè)文化的重要部分，那么安全方面的培訓(xùn)也是如此。這不僅僅是安全小組的分內(nèi)事情，而應(yīng)該變成企業(yè)文化的一部分。它不應(yīng)該是一年一度的自我檢查，而應(yīng)該是日常工作。培訓(xùn)的第一階段是對(duì)員工個(gè)人行為的關(guān)注，因?yàn)樗麄儗?duì)自己的所作所為更清楚，也會(huì)對(duì)做過(guò)的哪些事情有印象，如果你可以訓(xùn)練他們懂得如何在家庭生活中的安全處理方式，那么他們?cè)诠ぷ髦幸矔?huì)有注意安全的良好習(xí)慣。