信息技术和安全之间的界线从何而来又终于何处呢?谁将为此负责?CIO又是如何决定局面?在工作中，CIO和CSO之间的关系是否可以很好?TriWest Healthcare Alliance公司依靠CSO John Pontrelli和他做技术工作的同事之间的有效工作，为280万美军会员以及他们在21个州的家属提供卫生保健服务。作为副总裁兼CSO，Pontrelli的职责范围包括物理层面上的安全和信息安全，而且他发现有必要和CIO 里克·格林形成一种紧密的工作关系。三年前Pontrelli加入TriWest，在这之前，他是微软公司和W.L. Gore公司的企业安全专家。他把他和CIO之间形成的合作关系讲述给了CIO sister publication 出版社的《CSO》主编Michael Goldberg。

    Michael Goldberg：过去，你把TriWest形容成一个依赖于信息系统的公司。那意味着什么呢?

    John Pontrelli：TriWest在21个州开展服务，基本上都是在包括夏威夷和阿拉斯加的美国西部。我们有120个服务点，它们都是通过广域网连接到公司在凤凰城的数据中心的。我们的大部分服务点都安排在军队里，因此在我们开始装配路由/转换设备以及接入电话线时，必须得和军队协调。我们为两到三个主要应用程序留出空间，来自21个州的人们可以通过这些程序检索并输入数据。我们有很多在任何时刻都包含21个州的信息的数据;我们也在我们的广域网范围内推广VoIP(Voice over Internet Protocal)。整个公司就是一个VoIP，我们的安全系统是架构于网络之上的，因此我们的网络就会保持一种繁忙的状态。

    Michael Goldberg：那是你和你的CIO 里克·格林之间关系的一种很好的继续。你可以形容那种关系的本质吗?在一个你们这样的企业里，是什么使得这种关系显得重要呢?

    John Pontrelli：里克(Rick)和我差不多都是三年前开始在TriWest工作的。他来的时候重新定义了IT(不仅是基础设施，还有应用软件)，而且我们公司当时刚中了国防部的一个标。他当时面临很大的挑战。

    他上任几个月后，公司聘用了我。我们之间有过一次关于安全和IT的谈话。我的提议是信息安全应该由我所在的部门负责，主要是因为这样能使他有更多时间来关注IT的连通性和可及性，在公司内部起到支持作用，同时也是因为实现国防部对我们硬性规定的所有安全要求在某种程度上是很难的。我们从一开始就达成共识，知道我们将如何确定目标并实现它。

    我们之间的另外一个共识(我认为这是一个很大的卖点)是：我不负责审查而只是评估他周围所面临的状况。在评估我们的路由器、转换器、数据库、服务器以及台式电脑的安全状况时，不管我们发现什么，都会和IT部门共享信息，因此那是一种协作的努力。然后我们就解决任何问题，无论它是技术性的、程序性的还是个人的问题。如果有些事情浮上水面，需要里克提起注意，我就会和里克见面。不管怎样，我们都会每个月见一次面，过一遍我们列出来想讨论的事情，但一旦我们想讨论技术或者安全问题时，我们都会向对方敞开心扉。我们总是会突然去造访另一方。Michael Goldberg：如今有很多关于审查系统和程序的讨论。你一直强调评估，以此作为一种合作性沟通的方式。它们之间有什么差异吗?

    John Pontrelli：我是“评估”这个词的狂热追随者，我不喜欢“审查”这个词。它包含负面的意思并且有分裂团队的意味;即使当前呈现出合作性的努力，它也会制造一种敌对的气氛。我们在安全方面从来都不用“审查”这个词，事实上我们也从不审查。我们有弱点分析工具，它使我们能够从内部和外部同时扫描整个环境。我们之所以这么做是因为政府在安全措施方面对我们有一系列限制，我们需要维持某种安全状态以保住我们的安全授权策略，而这些限制是针对这种状态。当我们在进行安全话题扫描时，IT部门会意识到这一点。他们总是在等待结果，因为当环境、应用软件或者网络不满足条件时，他们也想和安全专员知道得一样多，他们也想有个满意的状况。我们共同评估、合作并且维持TriWest的高度安全，我想这是我和里克都感到自豪的。

    Michael Goldberg：在评估之后，需要关闭一个循环来看是否有了改变、修复或者改进吗?这是由你的团队还是CIO们来处理的呢?John Pontrelli：这取决于它是一个技术性问题、程序性问题还是人的问题。我们的扫描持续进行(我们有一组扫描的进度安排)，因此当我们回去重新扫描时，如果问题依旧存在，我们就通知IT部门。大多数时候，IT部门会告诉我们他们是否有能力解决以及需要多长时间来解决这个问题。通常事情没有预料的那么好都是有原因的，但是好的方面是我们都有很好的沟通并且保持步调一致。

    以我作为一个安全负责人的视角来看(也许Rick的观点也是如此)，我们最不愿意看到的是有些事情让我们感到惊讶。那些不确定因素确实会使我彻夜难眠。

    Michael Goldberg：你和你的CIO是如何界定安全和IT的界线的?

    John Pontrelli：关于界线的对话是我和Rick第一次谈话的一部分，那时我们达成共识，拥有信息安全对我而言是有意义的。IT部门关注或者使用的一部分典型安全工具已经转移给了公司安全小组。我们之间更为深入的谈话是关于一些更为传统的安全项目(也称为IT项目)，比如防火墙管理。

    比如，有时防火墙被看作一种安全工具，有时又被看作一种网络连接或者路由工具。我最初的想法是也许负责安全的人员应该监管防火墙，这样我们就能确认防火墙的各项标准，做好评估工作并确定所有配置都是正确的。对于这些的回应大致如下，“约翰，如果有人因为连不上网络，同时又需要你来开一个端口，在半夜打电话给你，你会怎么做?你会帮他吗?”我说，“不会，我们没有那样的基础设施，我们不会总是一天24小时一个星期7天不间断地为客户提供连通性和可及性方面的支持。”所以那样的情况发生在IT部门就比较正常，因为IT部门是24小时为我们的企业客户服务的。我们在后台做的是协助他们确认安全架构、程序以及公司政策都已到位并且大家都遵照这些东西。

    Michael Goldberg：那样的交流必须得在你要开展新项目时持续下去。John Pontrelli：确实如此。我们最近开展了无线业务，已经在一个测试环境中开展此业务一年有余，而且我们想将它融入生产之中。我们和DoD通力合作，明确我们开展无线业务需要的安全状况以及配置。我们开了多次安全部门和IT部门之间的会议，而且还引入第三方来确定我们没有缺少任何东西，所有的配置都已达到要求。其中的部分过程是谁将为无线业务制定政策、我们将用什么样的表格让终端用户填写?所有这些都需要深入讨论并达成统一的意见，我们也确实是这样做的。我们开展了无线业务，而且很高兴的是我们对于其开展状况感到非常满意。

    Michael Goldberg：你的意思是你和CIO之间的关系促成了更高的期望的更好的表现。John Pontrelli：是的。如果Rick重视连通性和可及性并确保企业的各个部门运转良好(这是他最要关注的)，那就是一个相当高的期望了。相反，在涉及保密、诚信以及其他所有和忠于公司相关的方面，在确定我们的系统、应用软件和所有东西都已配置好并满足预期的要求时，道理都是一样的。现在公司的高层领导都很清楚谁负责哪个领域，如果在其中的某个领域出了问题，他们就知道该怎么去做。这样大家就有了一种责任感，权责明晰，而且我觉得期望也更高了。

    Michael Goldberg：你觉得在CIO们或者CSO们看来，什么对于他们和安全部门或者IT部门在类似职位上的人之间的关系最为重要?John Pontrelli：我认为越早在CIO和CSO之间建立关系的组织就会越早受益。所以有必要建立那样的关系、确定在其中一些领域的责任并经常见面。每次我和Rick见面，总会从他身上学到很多东西。同时，同时他也知道我会带给他任何有利于安全的东西。我们协作得很好。这是的每天的工作变得非常轻松。
 

(责任编辑：)