CSO角色生变将重新复制CIO的老路

从事件反应到主动风险评估，CSO角色有了戏剧性发展。下一个戏码将是：新服务与商业运作智慧(business operations intelligence)。

David Kent到Genzyme生技公司服务已将近15年，该公司主要是发展疾病的医学治疗，像是某种遗传疾病与某些类型的癌症，总公司位于美国麻州剑桥市。1994年，这家公司的销售额还低于2亿美元，员工人数也只有大约1,000人；这与2008年报告的11,000人，以及46亿美元的营收数字报告，形成强烈的对比。

Kent在Genzyme的第一个职务是顾问，后来他到Bolt Beranek and Newman高科技公司任职安全经理。当时Genzyme公司的某些智慧财产遭窃，Kent被要求去做情况评估。他在工作上的优异表现使他后来成为Genzyme的安全总监─该职务主要是专注在组织的安全防护上，防止其它窃盗再发生。

“那时候，我想全公司大约有9种不同的感应卡系统。只有一个人在处理他们的声音、数据与办公服务…等项目。”Kent表示：”这是快速成长企业在组织设计上的典型写照。安全因素完全没有被考虑进去，它往往被认为是比较不紧急、不重要的事项。从我的观点看来，这前景堪虑。”

为了确保不会再有窃盗事件，他的第一个项目是检查实验室与笔记型计算机的周边情况。接着，开始评估大楼的实体安全，并且实施单一卡片方案，以满足多种卡片阅读机的情形。Kent与其小组开始朝向与公司有关的安全标准努力，同时慢慢地克服信息系统中艰困的安全挑战。那是很有展望与前卫的安全理念，对当时的公司而言是从未曾见识过的。

“如果留下各个装置，我们就不会有今天的计划。我们的数据仓储会各自独立分离；组织中必须有一个人去驱动这个东西。”

随着企业的成长，安全议题也越来越被重视。不过是2000年在波士顿举办的国际生物科技大展 (Bio International Exposition)给了Kent这个完美的机会，展现他的部门可以超越事后防护，进而采取主动式安全管理。

“那是继WTO在西雅图举行的会议之后，在东岸的第一个重要会议。Genzyme高级管理阶层成员是波士顿会议的主席。而我们被邀请去协调会议周围的安全措施。当时预计有14,000人将出席此活动，而示威游行群众可能会导致这场会议停止。”Kent说，他跟当地的执法单位，还与可能会被视为示威目标的公司谈了好几个月，强烈地要求他们必须有所准备。一直到活动到来时，Genzyme的安全人员已经与超过80个单位进行协调过，并且与各个不同的组织举行固定会议。

展会开幕的第一天，3,200个示威群众聚集到会场大厅。据Kent表示，他们的表现风平浪静，完全如他的期待。

“什么事都没发生。”他说：”因此，我们有很高的能见度。当不好的事情发生时，你必须是有能力做适切的反应的。那就是他们对我们的印象。”

那事件过了不久以后，Kent被任命为安全副总裁。他认为此升迁代表着”安全小组在CSO模式下正式运作”的里程碑。

除安全以外更多的技能

Kent在Genzyme公司的经历，对全世界所有已决心安置一位最高安全长的组织而言，都十分能感同身受，企业需要一位CSO或CISO为安全担负最关键的责任。10多年来，我们已经见证了这个职务大量增加。但是随着它的需求成长，已雇用CSO的组织对他们的期望也相对提高；当安全计划变得越茁壮、越复杂时，企业对已就任的最高安全长的期待也越多。CSO现在被要求扩大他们的技能选单：有技术背景的人必须了解管理、法规遵循、安全，以及数据中心以外的风险等面向。CSO不只要了解实体安全，还必须熟知信息系统，以及除了组织内部之外，其它可能会带来威胁的外部项目。

最初CSO角色出现在公司时，产业分析师被指望担当这些责任。它的进化很像CIO的改变过程，CSO也有相同的经历。

“当然，CIO经常面对的问题，他们也会互相分享。”史丹佛大学教授Paul Saffo这么表示。他是预测家也是评论家，主要专注于企业长期技术变化与影响的议题。他认为：CIO的工作内容是如此难解，要获得尊重是一大门学问，其它的执行主管永远无法了解或尝试了解。一直要到最近，CIO才正慢慢地告别这个阶段，但CSO仍然身陷其中。

然而，尽管CSO角色的组织观念还在发展过程，但这个工作还是有其过去累积出的历史背景，所以企业在招募人员与雇用经理时，也已经比较清楚他们要的安全执行者是什么样的人，Lenzner集团的CEO Tracy Lenzner这么表示( Lenzner集团是一家为企业招募安全人员的公司)。

“客户的需求越来越复杂。”Lenzner表示：”我们正处于这些角色的第二与第三代。有些公司虽然是第一次在这些领域上着墨，但整体来说，企业在资安上所填补的角色，也就是这些过去有经验的人”。

从高科技专家到营运管理人

很多人认为Katz是史上第一位资安最高主管头衔的人，他在1995年被Citigroup(花旗集团)任用时，开始将信息安全观念彰显出来。Citigroup雇用Katz，是在黑客闯入Citibank的现金管理系统，偷走1,000万美元到他自己的账户之后的事。如此庞大的金额并没有被寻获。这个窃贼把信息安全问题带到Citibank面前，这样的伤害可能会再发生，公司希望有人能把风险降到最低。Katz的CISO头衔是由Citicorp的董事会创设，由前CEO John Reed任命。

“他的观点是：把营运的视野带到信息安全。”Katz表示：”一如Reed所言，『Citicorp卖两样东西：钱和信任』，我们要协助他们在信任的基础上传递安全。”

Katz说，他第一年花了很多时间到世界各地与Citi的高阶主管会面。任务是将”安全”重新定义，并且找出保护这家公司所必须要做的事项。他问高阶主管两个问题：”你在办理事情时，你在乎对象是谁吗？你的客户又是何方神圣呢？”

“技术议题不是这些问题所关心的部份。”Katz表示：”这两个问题背后所要阐述的观念很简单：『你在意维护信息的机密性与隐私吗？』”
接着，Katz开始将身分识别的观念带进来，那些企业主管开始边点头边说，”是啊，有道理。”Katz表示。

Katz现在有自己的顾问公司，持续与CSO与CISO会面，同时提供一些顾问指导。当他提供一些行业建议时，在现今的企业环境下如果想成功，他极力主张任用积极进取的安全专业人员，来增进他们对营运与风险的理解。

“企业对这个角色的期待逐渐地被放在技术、营运与风险上的成就，已超过对于一位安全人员的角色定位。与营运专家合作的要求，可能是安全专家要面对的最大挑战。如果你不善于和组织中管理阶层的人一起工作，那么在这家公司你将会是一个不起眼的小角色。”Katz这么表示。

未来的CSO

想推断CSO角色未来的发展，就要更深度地去观察CIO职位的变化。最近CIO已经从公司早先简单支持的角色，又提升为更高层的管理职(之前CFO在变成捍卫股东利益的战略专家之前，也只是一名会计人员)。Saffo表示，CSO的挑战是，除了他们的核心防御任务之外，必须再找到证实他们效能的方法。接下来，他相信CSO会被要求必须做CIO在过去10年所管理规划的事情；也就是从一个支持或基础建构的角色，转变成一位以企业核心任务为主，提高生产效率与效能的中心角色。

Beth Cannon是旧金山投资银行与交易商Thomas Weisel Partners集团的CSO，她从1999年公司创立时就是公司一员，并于2004年就任CSO。在升职之前，她负责工程与基础架构，包括服务器操作与网络方面的任务。

“我对于法规与网络一直都抱持某个程度的安全考虑。当管理规则开始增加时，CIO便说：『我想我们需要有个人专注在这些事情上』，那就是我的角色之所以会诞生的原因。”她说。

5年之后，这个角色明显地改变了，Cannon表示。公司开始做跨国生意，而Cannon除了美国的法规之外，还得学习几个其它国家的规范。该公司同时于2006年股票上市。

“刚开始，这个工作很着重在操作与信息安全方面，我们必须加快修补更新的速度，我们的网络活动必须一一被纪录下来。”她说：”为了更妥善地掌控网络之外发生的事，我们必须有几个适当的措施。”

据Cannon表示，现在她觉得在她刚就任时，所设置的许多防护措施已变成操作面的工作。那些当初必须被处理的事情，现在只是例行处理的事务。那给了她一个机会，花了更多的时间为安全寻找方法，而不只是保护措施而已，更重要的是为组织提升价值。现在她的工作的主要重点，是放在企业的持续经营，她说：”最近的新流感疫情，让我可以把最关切的议题呈现到高阶主管面前。”

Cannon强调：”现在，我试图站出来说，『这不只是技术问题』，让我们来谈谈你打算如何管理你的工作人员。”

另一个重点是数据的分级分类。Cannon说，她希望她的付出，未来能够让安全在管理桌上占有一席，就像她证实，她的部门为公司未来的规范与管理规则上所作的努力有其价值。她已经渐渐地推翻以往大家认为安全只是个花钱单位的观感，证明它对企业未来任务的重要性。

就像社交网站与其它Web 2.0应用程序，已经结合了现有平台，为使用者创造了彼此沟通的新方法一样，CSO也必须将几个营运观点进行整合，以求更有效的风险评估，以及与经营管理部门进行有效的沟通，这是Eric Domage在最近的一个风险管理研讨会中，发表有关CSO 2.0未来责任的观点。他是IDC主要负责西欧地区的信息安全分析人员。

个人技能与沟通技能是CSO 2.0最重要的要求(这一点被反应在”CSO大调查”长年的调查结果中：2003年的响应者指出，沟通是最重要的成功技能)。尽管许多的安全总监在组织中，只要把注意力集中在安全的部份，只花很少的精力在其它地方或沟通上，但现在他们将被要求要与整个公司的其它人协同工作。

据Caterpillar公司的全球安全总长Tim Williams的说法，没有这个能力的人不会有将来。该公司是全球最大的建筑设备、采矿设备、柴油引擎、天然气引擎，以及工业燃气轮机的制造商。Williams把环境的变迁比喻为”抢椅子游戏”。

他表示：”音乐一停下来，今天有能力坐到椅子的人，未来就是拥有商业内涵与前景的人。”

Williams担任安全专家职务已有几十年经验，他曾经在Proctor & Gamble、 Boise Cascade造纸公司与Nortel服务过，并任职于ASIS International较长的时间，5年前该机构是第一个将CSO组合起来，给予正式定义的机构。现在，Williams把这个角色定义为”企业安全风险管理”的其中一项。

“CSO已将产业与文化结合成一个具凝聚力的策略，他们产生的作用，很可能带领他们安然走过这一波经济衰退期。”Williams表示：”他们有本事解释安全的程序为何、将它与营运连结，并且显现其价值。”

Williams相信，未来CSO不仅须要能够与其它单位的同仁一起坐下来协商，并且还应具备风险管理的知识。对于工作中有牵涉到企业风险的部份，将它们放到商业内涵中，预期所应产生的经济作用，以及风险事件发生的频率或可能性。同时，他特别强调，有战斗力的安全领导人与团队协作的必要性。从Caterpillar的经历可知，他把他的成功归功于安全部门成员之间活络的互动。

Williams同意，新时代的CSO必须是身兼管理与安全技能的专家。但是，CSO如何把风险脉络放到营运中，既是一门艺术，也是一项科学，那是每个CSO需要控制以获取尊重的课题，就像Saffo前面所提到的。那意味着，CSO除了风险以外，还必须彻底了解一家企业的产品线与经济驱动力，而这也很可能代表他们必须知道，如何在有限的资源内投入案子。Williams相信，未来持有MBA学位的安全执行者将持续增加。

“你如何花你企业的钱、得到那些开销产出的结果，并应付其所带来的风险，都必须要有出一套具凝聚力、清楚且容易理解的策略。”

Williams表示：”以后CSO的压力将落在如何利用严谨的逻辑，紧密地捍卫与提出预算。而我们最好赶快拥有这些重要的技能，否则日后可能会陷入困境。”

那么谁是真正拥有那些必备技能的人呢? 到Genzyme的大厅走一遭，也许可以提供你一些端倪。前阵子CSO在做技能巡礼，所以有机会看到Kent精采绝伦的计划，他以”全灾害”的风险检视的方式，处理该公司的安全问题。它包括了一项令人印象深刻的监控室，工作人员在里面评估企业的实时潜在风险，检查从世界各地来的数据。

这种整体检视没有被限制于地下楼的操作中心。今年年初，Genzyme将安全、风险管理、具竞争力的技术型智财，在特定的范围内进行整合，并且将Kent的头衔改为全球风险与营运资源副总裁。从他早期在公司担任安全专家被要求处理负面事件，到现在他与公司的其它高阶主管坐在同一个会议桌上，讨论安全策略与风险管理，那是极大的转变。

这个团队未来能够证明，他们不仅可以处理事件，也能够增进其能力以提供企业商业智慧，这一点他很乐观。

“我们正在努力将团队之间的协同合作发挥到最大。”Kent表示：”这个有趣的工作将发现新的连结，并且建立起它产生的服务，尽管我们现在还不清楚那会是什么。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友