互联网金融的首席安全官

 

　　【编者按】无论是支付宝，还是携程网传言被黑客攻击，无疑都折射出了互联网的安全隐患。金融对安全的耐受力极低，与互联网的联姻，不应改变金融的本质。就目前现状而言，互联网也许无法满足金融对安全系数的超高要求，企业的人才储备也明显暴露了互联网金融行业的安全缺口。在此，飒姐推荐一篇爱粉来稿，听许警官说说“互联网金融首席安全官”的故事……

 

　　飒姐一直希望我为互联网金融写点什么，一开始我是拒绝的，主要原因是懒。实在躲不过去，就谈谈我对互联网金融安全的看法。现在的互联网金融刚起步，重视的安全基本上在风控这个环节，不够重视其他安全。其实小的公司可以有安全顾问、安全经理，大的应该有个首席安全官（ChiefSecurityOfficer，简称CSO）。各个创业的互联网公司都需要的，让创业的负责天马行空的想象，首席安全官确保这些创意在现实中能够运行，确保公司不在这方面受到毁灭性打击。

 

　　互联网金融行业尤为需要这个岗位。第一位首席信息安全官就是由花旗银行创立的，由Kate担任。发展到现在，很多互联网公司和信息化发展较快的传统公司都有了首席安全官，工作的职责不仅仅只是信息安全，还涵盖了物理安全、法律和政策风险等。

 

　　对于首席安全官的要求其实还是比较高的，需要复合型人才，除了与公司有一致的目标和认同外，必须具备一定的法律基础、沟通协调能力、互联网的安全技术知识，还要了解公司的业务。首席安全官对于这些知识不需要很专业，但必须能在公司的战略会议上提出执行的风险概率和对应的规避策略。

 

　　首席安全官必须了解公司业务相关的法律知识、政策导向、执法环境等，为企业制定安全标准。遇到具体情况时，当然可以咨询像飒姐这样专业的法律人士和安全公司，让专业的人干专业的事，但是他必须知道什么时候或者什么项目执行前需要进行法律咨询和沟通主管部门。为什么说互联网金融必须要有首席安全官，因为任何创新的行业都会出现过去法律没有预见到的情况。各位所干的风险不低于当年凤阳县的18位农民。这里除了法律知识外，还需要了解政府等主管部门的运作，并有较强的沟通和协调能力。对于一些未知、未定型的情况，能做到和主管部门及时沟通，消除误会，求同存异，在新旧观念的对冲中找到一条可以执行的道路。

 

　　在大数据兴起的背景下，公司的信息资料逐渐成为了核心价值。互联网金融的数据，不仅仅是信息本身的价值，信息数据代表的就是金钱，不可逆的摧毁会让整个公司破产。当然，在没摧毁数据前，小小的一个数据安全事件就可以摧毁金融品牌的安全信息，金融行业另一核心——“信任”，将不复存在。首席安全官要为确保信息安全这一目标，为公司信息流从制度、执行、人员权限、硬件环境、软件设备等方面设计一套安全规划，并能协调各部门业务员工、技术人员、安全公司等落实这一安全规划。

 

　　安全不是绝对的，也不是稳定的，有时与企业的经济利益、办公效率等相冲突。首席安全官需要搭建一个动态的安全防御体系，把安全意识融入进企业价值中，在经济效益和安全中找到一个最符合企业发展的平衡点。