从事件反应到主动风险评估，CSO角色有了戏剧性发展。下一个戏码将是：新服务与商业运作智慧(business operations intelligence)。

    David Kent到Genzyme生技公司服务已将近15年，该公司主要是发展疾病的医学治疗，像是某种遗传疾病与某些类型的癌症，总公司位于美国麻州剑桥市。1994年，这家公司的销售额还低于2亿美元，员工人数也只有大约1,000人；这与2008年报告的11,000人，以及46亿美元的营收数字报告，形成强烈的对比。

    Kent在Genzyme的第一个职务是顾问，后来他到Bolt Beranek and Newman高科技公司任职安全经理。当时Genzyme公司的某些智慧财产遭窃，Kent被要求去做情况评估。他在工作上的优异表现使他后来成为Genzyme的安全总监─该职务主要是专注在组织的安全防护上，防止其它窃盗再发生。

    “那时候，我想全公司大约有9种不同的感应卡系统。只有一个人在处理他们的声音、数据与办公服务…等项目。”Kent表示：”这是快速成长企业在组织设计上的典型写照。安全因素完全没有被考虑进去，它往往被认为是比较不紧急、不重要的事项。从我的观点看来，这前景堪虑。”

    为了确保不会再有窃盗事件，他的第一个项目是检查实验室与笔记型计算机的周边情况。接着，开始评估大楼的实体安全，并且实施单一卡片方案，以满足多种卡片阅读机的情形。Kent与其小组开始朝向与公司有关的安全标准努力，同时慢慢地克服信息系统中艰困的安全挑战。那是很有展望与前卫的安全理念，对当时的公司而言是从未曾见识过的。

    “如果留下各个装置，我们就不会有今天的计划。我们的数据仓储会各自独立分离；组织中必须有一个人去驱动这个东西。”

    随着企业的成长，安全议题也越来越被重视。不过是2000年在波士顿举办的国际生物科技大展 (Bio International Exposition)给了Kent这个完美的机会，展现他的部门可以超越事后防护，进而采取主动式安全管理。

    “那是继WTO在西雅图举行的会议之后，在东岸的第一个重要会议。Genzyme高级管理阶层成员是波士顿会议的主席。而我们被邀请去协调会议周围的安全措施。当时预计有14,000人将出席此活动，而示威游行群众可能会导致这场会议停止。”Kent说，他跟当地的执法单位，还与可能会被视为示威目标的公司谈了好几个月，强烈地要求他们必须有所准备。一直到活动到来时，Genzyme的安全人员已经与超过80个单位进行协调过，并且与各个不同的组织举行固定会议。

    展会开幕的第一天，3,200个示威群众聚集到会场大厅。据Kent表示，他们的表现风平浪静，完全如他的期待。

    “什么事都没发生。”他说：”因此，我们有很高的能见度。当不好的事情发生时，你必须是有能力做适切的反应的。那就是他们对我们的印象。”

    那事件过了不久以后，Kent被任命为安全副总裁。他认为此升迁代表着”安全小组在CSO模式下正式运作”的里程碑。

    除安全以外更多的技能

    Kent在Genzyme公司的经历，对全世界所有已决心安置一位最高安全长的组织而言，都十分能感同身受，企业需要一位CSO或CISO为安全担负最关键的责任。10多年来，我们已经见证了这个职务大量增加。但是随着它的需求成长，已雇用CSO的组织对他们的期望也相对提高；当安全计划变得越茁壮、越复杂时，企业对已就任的最高安全长的期待也越多。CSO现在被要求扩大他们的技能选单：有技术背景的人必须了解管理、法规遵循、安全，以及数据中心以外的风险等面向。CSO不只要了解实体安全，还必须熟知信息系统，以及除了组织内部之外，其它可能会带来威胁的外部项目。

    最初CSO角色出现在公司时，产业分析师被指望担当这些责任。它的进化很像CIO的改变过程，CSO也有相同的经历。

    “当然，CIO经常面对的问题，他们也会互相分享。”史丹佛大学教授Paul Saffo这么表示。他是预测家也是评论家，主要专注于企业长期技术变化与影响的议题。他认为：CIO的工作内容是如此难解，要获得尊重是一大门学问，其它的执行主管永远无法了解或尝试了解。一直要到最近，CIO才正慢慢地告别这个阶段，但CSO仍然身陷其中。

    然而，尽管CSO角色的组织观念还在发展过程，但这个工作还是有其过去累积出的历史背景，所以企业在招募人员与雇用经理时，也已经比较清楚他们要的安全执行者是什么样的人，Lenzner集团的CEO Tracy Lenzner这么表示( Lenzner集团是一家为企业招募安全人员的公司)。

    “客户的需求越来越复杂。”Lenzner表示：”我们正处于这些角色的第二与第三代。有些公司虽然是第一次在这些领域上着墨，但整体来说，企业在资安上所填补的角色，也就是这些过去有经验的人”。

    从高科技专家到营运管理人

    很多人认为Katz是史上第一位资安最高主管头衔的人，他在1995年被Citigroup(花旗集团)任用时，开始将信息安全观念彰显出来。Citigroup雇用Katz，是在黑客闯入Citibank的现金管理系统，偷走1,000万美元到他自己的账户之后的事。如此庞大的金额并没有被寻获。这个窃贼把信息安全问题带到Citibank面前，这样的伤害可能会再发生，公司希望有人能把风险降到最低。Katz的CISO头衔是由Citicorp的董事会创设，由前CEO John Reed任命。

    “他的观点是：把营运的视野带到信息安全。”Katz表示：”一如Reed所言，『Citicorp卖两样东西：钱和信任』，我们要协助他们在信任的基础上传递安全。”

    Katz说，他第一年花了很多时间到世界各地与Citi的高阶主管会面。任务是将”安全”重新定义，并且找出保护这家公司所必须要做的事项。他问高阶主管两个问题：”你在办理事情时，你在乎对象是谁吗？你的客户又是何方神圣呢？”

    “技术议题不是这些问题所关心的部份。”Katz表示：”这两个问题背后所要阐述的观念很简单：『你在意维护信息的机密性与隐私吗？』”
接着，Katz开始将身分识别的观念带进来，那些企业主管开始边点头边说，”是啊，有道理。”Katz表示。

    Katz现在有自己的顾问公司，持续与CSO与CISO会面，同时提供一些顾问指导。当他提供一些行业建议时，在现今的企业环境下如果想成功，他极力主张任用积极进取的安全专业人员，来增进他们对营运与风险的理解。

    “企业对这个角色的期待逐渐地被放在技术、营运与风险上的成就，已超过对于一位安全人员的角色定位。与营运专家合作的要求，可能是安全专家要面对的最大挑战。如果你不善于和组织中管理阶层的人一起工作，那么在这家公司你将会是一个不起眼的小角色。”Katz这么表示。

    未来的CSO

    想推断CSO角色未来的发展，就要更深度地去观察CIO职位的变化。最近CIO已经从公司早先简单支持的角色，又提升为更高层的管理职(之前CFO在变成捍卫股东利益的战略专家之前，也只是一名会计人员)。Saffo表示，CSO的挑战是，除了他们的核心防御任务之外，必须再找到证实他们效能的方法。接下来，他相信CSO会被要求必须做CIO在过去10年所管理规划的事情；也就是从一个支持或基础建构的角色，转变成一位以企业核心任务为主，提高生产效率与效能的中心角色。

    Beth Cannon是旧金山投资银行与交易商Thomas Weisel Partners集团的CSO，她从1999年公司创立时就是公司一员，并于2004年就任CSO。在升职之前，她负责工程与基础架构，包括服务器操作与网络方面的任务。

    “我对于法规与网络一直都抱持某个程度的安全考虑。当管理规则开始增加时，CIO便说：『我想我们需要有个人专注在这些事情上』，那就是我的角色之所以会诞生的原因。”她说。

    5年之后，这个角色明显地改变了，Cannon表示。公司开始做跨国生意，而Cannon除了美国的法规之外，还得学习几个其它国家的规范。该公司同时于2006年股票上市。

(责任编辑：)