Genzyme是一家生物科技公司,总部设在马萨诸塞州的Cambridge,主要从事疾病医疗的研发,如某些遗传性疾病和某些癌症。1994年,该公司的销售额还不到两亿美元,而且只有约1000名员工。与之形成鲜明对比的是,该公司目前全球的员工为11000人,2008年的收入达到46亿美元。Kent在Genzyme公司的一次工作经历是作为一名 安全顾问。因为资料被盗窃,该公司已失去了一些自己的知识产权,所以他们找到Kent,希望他能帮助他们评估公司的安全状况。当时Kent在Bolt Beranek and Newman公司工作,职务是安全经理。当Kent在Genzyme公司工作一段时间后,他被Genzyme公司直接挖了过来,担任该公司的安全主任。Genzyme公司之所以做出这个决定,其目的是 让那些有大量安全工作经验、关注公司安全形势的人担任这一职务,从而防止公司的秘密信息再次被盗窃。
当时,我估计公司里面大约有9种不同的电子卡接入系统,只有一个人负责处理的公司员工的语音、数据以及他们的办公室服务。Kent说,这种公司机构的设计反映了这是一家快速成长的企业,但是并没有考虑到在安全方面的投入,公司并不重视这一块。在我看来,自己在这个公司并不会有太大的作为,因为公司在安全方面的投资太少。
他的第一个项目是评估实验室和笔记本电脑周围的安全状况,以确保不会再次发生盗窃事件。在此之后,他被安排去做公司建筑的物理安全评估工作,之后着手解决了多种读卡器方案所带来的问题,在全公司内规定只实施一种电子卡的解决方案。随后,Kent和他的团队开始在公司推动安全标准的建设,同时也逐渐地应对了一些在信息系统安全的挑战。这些工作给公司带来了一个开拓进取性、具有前瞻性的安全理念,而在此之前是从未曾有过的。
如果没有自己的设备,我们就不会有我们今天的计划。我们本可以有单独发射井,但必须有专门的人在公司内部推动这些设备的建设。随着公司的成长,决策层和各级员工也更加重视安全。但却是2000年在波士顿举行的国际生物博览会让Kent了一个重新认识公司安全策略的绝好机会,他认为当时已有实力突破公司现有的被动防御局限,转而实施更加主动的安全策略。
这是在西雅图举办了世贸组织会议之后,东海岸的第一次重大会议。Genzyme的高级管理们作为主席参加了这次在波士顿举办的会议。我的团队被主办方要求协调会场的安全。预计将有1.4万人参加这次博览会,会场外还有一些示威者,不对他们引起重视恐怕会严重影响博览会的进行。Kent说,博览会前的几个月,他一直在和当地的执法机构沟通,并警告其他参展的公司,敦促他们做好安全方面的准备工作,免得成为示威者攻击的目标。当博览会开始时, Genzyme公司的安全官员协调了80多家公司机构的安全工作,并与多个组织就安全问题进行了一些常规的会议。
博览会开幕的当天,3200名示威者来到了会场大厅前。据Kent后来回忆,他们的存在已经不会对博览会带了多大的影响了,因为这是在博览会开始之前就已经预料到的事情。
什么事情都没有发生,他说。 因此,我们获得人们广泛的赞誉,名声大震。当不好的事情发生时,你必须有能力做出最好的回应,而这些都是博览会组织者已经事先意识的问题。
在那次博览会结束后不久,Kent就被提拔为公司安全方面的副总裁。Kent表示,这次升迁标志着安全部门的运作正式进入首席安全官(CSO)模式。
除了安全,还必须具备的技能
Kent在Genzyme的这些工作经历,与世界各地的其他一些组织颇为相识,这些组织已决定建立一个专门的职位,如高级安全官员、首席安全官或首席信息安全官(CISO),重点负责公司的安全事务。在过去10年,越来越多的公司开始设置这一职位,但是随着这一职位数目的增加,那些雇佣了首席安全官的公司组织对他们的期望也越来越多。随着安全软件变得日益强大和成熟,拥有高级安全人员的公司对他们的期望更是有增无减。公司期望首席安全官能具备其他的一些技能:除了数据中心方面的知识,拥有技术背景的安全从业人员还必须理解法规、安全和风险。一些事关人生安全的部门(如执法机构或军队)的首席安全官们除了对硬件设施以外,还必须了解信息系统和他们所在组织的数据资产可能会遭到的威胁。
这是在各大公司第一次出现首席安全官这一职位以后,业界希望看到的变化。就像CIO的作用已经发生的改变一样,人们对首席安全官期望的变化也是不可避免的。
Paul Saffo是斯坦福大学的一位教授,同时也是一名预言家兼评论家,重点关注技术长期变化及其对业务带来的影响。他表示,当然,CSO们也面临着CIO们过去曾面临的相同问题。首席信息官一直是管理层里面的罗德尼丹戈菲兹(Rodney Dangerfields),我得不到任何尊重,因为他们的工作是如此的令人费解,其他的公司高层人士不理解,甚至不愿意去尝试理解CIO的工作,一直到最近这一情况才有所改观。虽然CIO们花了很长时间才渡过了这一阶段,但我认为首席安全官同样能够达到这一点。
