網(wǎng)絡安全和數(shù)據(jù)隱私成為在麥迪遜舉辦的CEO-CIO研討會的熱門討論話題，隨著網(wǎng)絡犯罪的日益猖獗，企業(yè)被攻擊的次數(shù)也越來越多。企業(yè)的業(yè)務部門開始向CIO和IT部門尋求解決方案，CIO又該如何回應這樣擔心呢？白宮前CIO，現(xiàn)網(wǎng)絡安全公司Fortalice LLC CEO Theresa Payton先生，會給出他的一些建議。

問：我了解到由于近期一系列網(wǎng)絡攻擊事件被披露，網(wǎng)絡安全已經(jīng)成為本次研討會上的重要議題，您認為企業(yè)CIO們該如何應對？

Theresa Payton：我看到這個勢頭。我認為這是一種非常有益的趨勢——可以再更廣的范圍內(nèi)討論網(wǎng)絡的風險和安全。我們該如何構(gòu)建安全系統(tǒng)？企業(yè)在利用網(wǎng)絡提升生產(chǎn)效率的同時又該如何控制潛在的風險？——這個討論還將繼續(xù)下去。

有個挺有趣的現(xiàn)象，我剛剛看過一份關(guān)于CIO和CEO就安全問題的研究報告，在報告的一個方面，CIO通常會說：“我向CEO匯報了安全方面的工作或者我向董事會介紹了安全方面的狀況”。而報告接著就發(fā)現(xiàn)，當他們詢問CEO們?nèi)绾蔚玫狡髽I(yè)網(wǎng)絡安全的報告時，只有三分之一的CEO表示他們記得看過這份報告。從這里我認為，CIO如何和上級溝通很重要，這種溝通不僅僅是安全報告上的專業(yè)術(shù)語堆積，而應該是關(guān)于安全對企業(yè)業(yè)務發(fā)展影響的分析和對策。

問：你在這方面有沒有具體的建議？

Payton：我覺得應該去重新審視企業(yè)今年的戰(zhàn)略目標，是三大主要戰(zhàn)略還是五個？從這些戰(zhàn)略目標是尋找到哪些與網(wǎng)絡安全相關(guān)的議題。這樣你在報告里就可以通過談論企業(yè)今年的戰(zhàn)略目標來帶出對于網(wǎng)絡安全的擔憂和應對計劃。在和董事會的匯報中，你需要站在董事會的角度去看待網(wǎng)絡安全問題，讓他們了解只有這些網(wǎng)絡安全問題得到解決，企業(yè)的效益才能得到最大的提升。

問：非常使用的建議!那么企業(yè)在哪些方面可能會遇到網(wǎng)絡安全問題？他們又該怎樣應對？

Payton：其中一個領(lǐng)域便是近幾年來炒得火熱的社交媒體平臺。很多企業(yè)并沒有意識到這一點。首先使用社交媒體的是員工，其次再是企業(yè)。企業(yè)缺乏一些諸如“如果不是為了營銷，那么不要使用社交媒體”的政策。

我來舉個案例，我們只是利用社交媒體就猜測到一家公司數(shù)據(jù)中心的架構(gòu)。我們的猜測先從社交媒體LinkedIn開始，那里有該公司員工的詳細簡歷，接著我們又搜索到留言板和博客上的信息。這些都是可以查到的公開信息，通過對這些信息的重組和分析，你可以看到這家企業(yè)在社交媒體上面臨著多大的風險。

問：市場上的安全供應商在提升企業(yè)安全方面有些可以嘗試的工作？

Payton：市場上又很多關(guān)于安全的產(chǎn)品。購買最新的產(chǎn)品，可以有效的防御風險。我認為這是必須的，但這并不全面和整體化。我希望安全產(chǎn)品供應商，尤其是企業(yè)級的供應商，應該展示出其產(chǎn)品如何作為整體解決方案的一部分，而不能將它看成一個零和游戲：“因為你有預算，所以必須買我的產(chǎn)品。”作為安全產(chǎn)品供應商，真正需要思考的是從企業(yè)戰(zhàn)略的層面考慮安全性的問題，告訴你的客戶：“你應該了解到你們目前面臨的風險，這些風險可能會對你的企業(yè)架構(gòu)產(chǎn)生重大影響，而我們可以幫助你們解決這些風險”。在談判桌上，你無需將競爭對手貶的一文不值，而只需告訴你的客戶，你能提供的產(chǎn)品和服務可以最大限度的融入企業(yè)戰(zhàn)略中，給企業(yè)發(fā)展保駕護航。

問：通常安全問題追根溯源都是人為疏忽，并非惡意所為，比如你的員工不該下載東西等，像這些的話都是缺乏對員工的教育。你覺得在企業(yè)內(nèi)部誰是最適合將這些“禁令”信息傳達給員工的人？他們又該采取哪些舉措？

Payton：我覺得這取決是公司規(guī)模。你可能在董事會沒有一個教育和培訓人士，但如果你可以找到一個溝通方面的好手與企業(yè)安全專家一起工作，那無疑是最好不過的了，他們可以幫助開發(fā)一種對員工更友好，更自動化的安全提醒機制。但要記住，不要過度渲染這件事，而是要將其納入企業(yè)文化和基因中。

不妨回憶一下我們在企業(yè)培訓中取得了哪些進展，通常這類的企業(yè)內(nèi)部培訓是由HR組織的，但它會轉(zhuǎn)變成企業(yè)文化的重要部分，那么安全方面的培訓也是如此。這不僅僅是安全小組的分內(nèi)事情，而應該變成企業(yè)文化的一部分。它不應該是一年一度的自我檢查，而應該是日常工作。培訓的第一階段是對員工個人行為的關(guān)注，因為他們對自己的所作所為更清楚，也會對做過的哪些事情有印象，如果你可以訓練他們懂得如何在家庭生活中的安全處理方式，那么他們在工作中也會有注意安全的良好習慣。