程伟强:护航企业畅游信息汪洋

一旦公司的敏感信息被偷盗,公司有可能破产或者崩溃。”程伟强绝不是危言耸听。去年底,美国折扣零售巨头塔吉特(Target)多达7,000万消费者信用卡或借记卡中的隐私信息,包括姓名、电子邮箱、电话号码,被黑客偷盗。恐慌情绪顿时在消费者人群中泛滥,塔吉特公司的名声大大受损,其首席执行官因此次事件被迫辞职。被盗窃信息的信用卡,其替换成本高达2亿美元。

程伟强是新加坡i-Sprint 集团和北京安讯奔科技有限责任公司的首席执行官。i-Sprint集团是世界领先的信息安全解决方案提供商,其战略合作伙伴安讯奔则是中国本土身份和安全管理解决方案领跑者。i-Sprint/ 安讯奔的身份认证登入管理解决方案,为花旗银行、中国银行、交通银行、中国平安等数十家金融机构的逾10 万亿美元资产保驾护航。

包括中国移动、深圳航空、花王在内,越来越多的非金融类服务型公司和制造型企业,开始使用i-Sprint/ 安讯奔的解决方案和服务。

日前程伟强接受本刊专访,分析中国企业尤其是出口导向型中小制造商在商业秘密等公司信息保护上面临的挑战和问题,并提出解决之道。同时,他分享了自己的公司战略和领导力秘笈。

首要任务是明确需求:究竟保护什么信息?

世界经理人:对于银行等开展在线交易的组织来说,信息保护和安全的重要性比较容易理解。对于那些没有开展在线交易的中国公司尤其是制造型公司来说,公司信息尤其是商业秘密的保护和安全在今天为何如此重要?

程伟强: 今天,许多公司包括制造型公司的信息是以数字格式来存贮的,很容易被盗窃。越来越多公司的日常业务运作都是建立在电子记录和自动化应用程序的基础之上。如何保护你的客户信息?如何保护你的供应商信息?这些问题变得十分重要。一旦公司的敏感信息被偷盗,公司有可能破产或者崩溃。

对于那些正在寻求转型的公司,或者寻求以更好方式运营的公司来说,它们特别需要懂得如何利用安全技术保护自己。在过去,许多公司的网站无法被外部的人访问。现在,有了手机和互联网,这些公司在运营中必须向其供应商和客户提供网站访问的许可。一个至关重要的问题,就是如何确保这种外部访问是安全的。

因此我认为,信息安全不再是奢侈品,它是商业的基本要求。

世界经理人:中国有许多出口型中小制造商。根据你的观察,这些中国企业在保护其商业秘密等信息方面,主要存在哪些问题?

程伟强:我认为存在两个方面的问题。总体来说,这些小企业的高管普遍缺乏信息安全的意识。他们总是在事故发生之后,才追问“我们究竟发生了什么事故?”或者“我们隔壁的公司究竟发生了什么事故?”所以信息安全意识的缺失,是一个大问题。少量小企业虽然意识到这一问题,想要有效解决它,但是不知道从何入手。

世界经理人:中国的出口型中小制造商过去做OEM,如今越来越多做ODM,关于设计的商业秘密需要小心翼翼的保护。

程伟强:正是如此。OEM 和ODM 的信息保护完全不同。做OEM 的制造商,主要保护买家的信息;而做ODM 的制造商,更重要的是保护设计方案等信息。试想一下,你本想把某款创新的设计推向市场,不料被竞争对手偷去,抢先推出一款类似的设计。这个后果很严重。这就是为什么对中国公司来说更重要的是,建立一个有效的机制来防止信息泄露。

世界经理人:根据你的观察,中国企业在保护其商业秘密等信息上值得继续发扬的做法是什么?

程伟强:我看到许多中国企业在谈论“数据泄露防护(Data Leakage Prevention,DLP)”的技术,我们在中国本土企业或展会上也看到了相应的产品。而且,许多大企业,比如政府企业和民营大公司,已经把这种技术和产品应用于公司信息的保护。但是,中小企业还没有这样做。

世界经理人: 一家公司应该如何确定公司信息保护的范围?

程伟强:我常常说,你需要将信息进行分类。ISO/IEC 27000是国际上信息安全管理的系列标准,把公司信息分为四种类型。这为企业提供了很好的参考(参见第18页的副栏“把公司信息划分为四种类型”)。

世界经理人:对于财务资源有限、信息基础设施薄弱的中国小企业来说,它们应该怎样有效地应用IT 技术来保护其商业秘密等内部信息?

程伟强: 我想从另外一个角度看这个问题。对于这些中小企业,我强烈建议它们首先要考虑什么样的信息需要保护,也就是说,它们首先需要明确自己的需求是什么。在此基础上建立企业的信息安全政策。有了这些,就可以考虑实施:是招聘一个专家在企业内部自己实施,还是外包给企业外面的专业机构?

世界经理人:贵公司的解决方案为什么能够帮助企业保护好商业秘密等公司信息?

程伟强:信息安全领域有一个重大挑战,就是如何确保正确的人,在正确的时间,访问正确的信息。假设一个信息系统为你开立了一个账户,当你访问时,该系统如何判断是你而不是别人在访问?为此,我们的解决方案提供了不同的方法来确定访问者的身份。

我们的解决方案还支持信息访问权限的管理。你能在信息系统中做什么?你能阅读这篇文件吗?你能在不同地点、不同时间点,以不同的金额进行这笔在线交易吗?

战略抉择:我们应该专注于什么?

世界经理人:你如何评价贵公司的战略?

程伟强:我们定期进行战略规划。在移动技术的不同领域,我们都有小组密切关注产业发展趋势,对“我们应该专注于什么?”做出战略抉择。由于拥有超过150 家客户,我们还召开客户焦点小组会议,这对我们战略规划很重要。

今天,我们专注于四个业务领域。第一是身份保护,就是我们如何帮助客户保护其信息系统的访问者身份。第二个领域是云保护,就是在越来越多公司把其应用移到云端的情况下,我们如何帮助它们保护其信息。第三是移动保护,就是越来越多的公司也把它们的应用移到移动设备上,我们如何保护它们的移动设备及信息。最后一个领域是数据保护,就是我们如何帮助客户保护其数据库中的数据。

世界经理人:在贵公司,领导力与战略执行是什么关系?

程伟强:为了有效执行公司战略,我始终相信以身作则、言行一致的领导力。这是第一。第二是依靠我们的企业文化。我们很好地实践了i-Sprint文化。i-Sprint中的每个字母,都代表着我们公司文化的一个方面。i 代表我们的业务范围—身份认证及访问管理解决方案,S 代表业务和产品的可升级性,P 代表合作伙伴和以客户为中心,R 代表我们人员和软件要具备灵活性,I 是创新,N 是利基和敏捷,而T 则是团队合作。

世界经理人:你作为公司的CEO,你的一天工作日常常是如何度过的?

程伟强:由于我们公司在全球有13 个办公场所,我进行了大量的商务旅行。我飞往各地,和当地办公室的领导团队交谈,了解公司面临的挑战。

每一年,我都要召集公司的核心团队举行业务规划会议,确定这一年的业务目标。在每一个季度,我们都对这些目标进行回顾,讨论如何重塑公司的运营策略和任务优先次序。因此,在一个典型的工作日,我做了大量的回顾和评审,以确保公司运行在正确的轨道上。

点击这里以下载完整文章。