CIO们将信息安全列为2005年最关注的话题并不能表明企业已经能够很好地开展信息安全策略。因为从我长期做信息
安全项目的经验看,信息安全最大的威胁不是来自外界攻击者,而是来自企业领导者的意识不到位。
通过调查,我们发现,CIO同企业领导层在信息安全上经常会有不同的认识,很多领导层认为,“那些吓人的故事与我和我的公司没有直接关系,而且我更愿意从积极而不是消极的角度去看信息安全。”而IT经理们则每天战战兢兢地检查IT系统中是否存在病毒、黑客入侵和不可用的威胁,并且会不断抱怨难以从决策者手中争取到用于信息安全项目的费用和支持。
虽然从2002年后,国内企业的领导者对信息安全的重视程度已经开始升温,舍得投入资金用于安全项目,一些企业还任命了专门的信息安全人员。但这些企业领导们仍然没有提供必要的支持,以至于企业的信息安全专员现在面临的最大问题是,不知道该做什么、该怎么做。
我们还做过一项统计,发现威胁安全的70%~80%因素不是恶意攻击,而是误操作,包括领导、系统关键用户和一般用户的无意识使用造成了网络安全的破坏。所以我个人认为,信息安全是一种意识上的东西,它包括领导层的管理意识、管理水平及企业全员的信息安全意识,它并不是CIO和IT部门独立能解决了的。
多角度看待ROI
思科系统中国公司 IT经理 狄乔
IT投资的价值回报既要看收益,同时也要看成本。用一些方法单纯地计算IT的价值很难,CIO们必须从多个角度看待IT的投资回报。
首先,IT投资必须与企业战略相结合,只有这样IT才可能产生投资回报。比如很多企业都在跟着思科的IT投资步伐走,看思科用什么自己就用什么。但我认为,思科的IT战略并不适用于所有企业,很多企业并不知道为什么要进行这些IT投资,因此CIO在进行IT投资前,必须要清楚自己需要什么。
其次,衡量IT投资回报不光要看财政支出,还要考虑企业整体的战略发展及文化需求。比如我打算给公司的每个客户代表配一个PDA,每个PDA要花3000元人民币,如果要给几十个、甚至上百个客户代表配备的话,会是一笔非常大的投入。但我们不能简单地从成本看待这次IT投资行为,而要从多个方面看待其带来的回报:PDA可以让我们的客户代表永远走在客户之前;令思科变得更加专业化;可以提升对客户的服务能力;便于与我们的商业伙伴展开合作。
最后,任何IT投资必然会有风险,因此CIO必需严密控制好IT投资的每个环节。这同CEO们从事企业投资一样,如某CEO花10亿美元去“进攻”一个市场,如果他在1年后看不到与投入相匹配的收益,他就不愿意再去冒险了,很有可能会关闭这个市场。CIO也同样面临这样的挑战——他必须像CEO对待企业战略层面的投资一样重视IT投资,时刻监控它,这样才能将风险降到最低。
CIO面临的挑战
AT&T亚太区总裁 Steve Lowe
当今,CIO面临的挑战与企业战略发展相辅相成,主要包括3方面:整合供应链、优化运营系统、加强客户关系。在这些大的应用系统下,无一例外地都有网络架构的支撑,因此企业是否具备良好的网络构架、网络是否安全成了很多CIO思考的问题。
我了解到很多CIO都有着同样的困惑:如何通过安全、可靠并可扩展的网络提高企业的生产力和运营效率;如何经济地满足全球分支机构不断增加的带宽需求; 如何利用新的网络技术加强销售、提升客户服务并减少成本;如何在保证安全的前提下,为不断增加的移动办公员工、远程办公的员工、分散在各地的合作伙伴提供远程接入?
在诸多对网络的需求之下,很多CIO选择了IP技术,它能够减少成本、保证接入的质量、提高生产率。据测算,在IP网络使用较好的情况下,企业每月可以从每个员工身上节省30美元的通信开支。某全球性研究公司表示,“企业正处于网络战略的关键时刻, 因为网络转向IP是不可避免的趋势。”因此,国内的CIO应该及早做好准备以迎接IP时代。
此外,AT&T所资助的调查显示,蠕虫病毒和黑客被CIO们认为是危害当今及今后两年网络安全的最大因素,它们会通过网络侵害整个企业内部的安全,所以网络安全已经成为CIO面临的关键挑战之一。
CIO的平衡艺术
大东电报局中国区首代 Nathan Hsu
通常在企业内部,总是会存在一些能影响企业发展而又互相冲突的因素。CIO必须具备“会平衡”的能力,既要控制IT成本、减低IT系统复杂性和连带风险以降低公司的总体成本,又要确保IT系统能够满足企业发展的要求,包括提高创新能力,提高公司的产能、业务能力以及安全性保障。怎么样达到两个方面因素的平衡呢?
首先需要企业CIO与CEO时刻关注企业的组织管理、优化流程。而建设良好的应用系统、沟通能力则必需以优良的IT基础架构为基石才能满足企业的需求。这也是CIO平衡能力最基本之所在。充分发挥IT基础设施和基础架构,使企业总部和各个分支办事处、流动员工、客户、供应商和合作伙伴,都能用非常灵活和安全的联接方法来共享企业的网络平台。IPVPN网络平台作为统一的基础架构可以支持数据、语音以及视频等不同类型的业务,使得公司的网络可以得到最大的限度的利用。
学会管理风险
美国Borland软件公司大中华区董事 总经理 刘珍妮
一个CIO所面临的风险主要来自3大领域:业务、运维、软件开发本身所带来的一些风险。如何进行风险管理是很多CIO们关心的话题。
其实风险管理已经不是一个新题目,但其理念却在近两年发生了很大的变化。以前,CIO们谈的大多是针对于某个团队、某个部门的风险管理,没有跟公司整体的业务战略结合,而且对风险主要是从负面影响进行理解,因此CIO们会动辄就说“减少风险”或者“消除风险”。实际上,在今天的商业环境下,CIO们发现有些风险其实来自于企业尝试新东西的时候,而创新和接纳新生事物本身是一个企业发展之本,所以CIO最重要的任务是怎样在风险管理和风险承受能力之间找到一个平衡点;同时,为自己企业的创新提供支持,为企业带来竞争优势。
