CISO对话，医疗健康行业的零信任安全战略

随着信息产业不断升级，云计算、大数据、物联网等技术不断应用渗透，已覆盖各个行业，针对新兴技术的网络风险也随之出现。尤其是数字经济时代，数字化、网络化、智能化正在重塑社会生活经济各领域，数字安全成为新时代重点关注方向。企业在构筑自主安全战略防线时，该如何规划数字安全战略？各行业的CIO/CISO如何思考，又有哪些烦恼呢？

“米小姐数字战略访谈录”，一个跟CIO/CISO链接的有故事的内容系列，她将与众多信息安全高管对话，记录不同行业、不同场景的数字安全建设，这里兴许有你关注的重点话题。

“出差就是出塞，一次不知归期的离家出走”，这是疫情为所有人带来的烦恼，却阻断不了有趣灵魂的沟通对话。近日，米小姐与医疗健康行业CISO顾伟关于数字安全战略展开了一场精彩对话。

对话嘉宾

顾伟：IT东方会医疗大健康分会副会长，医疗健康行业资深信息安全与隐私保护专家，中国商业联合会互联网应用工作委员会智库专家顾问，国家互联网数据中心产业技术创新战略联盟技术专家委员会专家委员，中国卫生信息与健康医疗大数据学会信息及应用安全防护分会首届专家委员。擅长领域：信息安全，数据安全，隐私保护，多个世界级信息安全项目落地经验，跨国团队领导经验，以及医药行业多个世界500强企业的信息安全管理决策经验。

Part.1

安全战略思考与跨部门沟通

Q1

顾总负责医疗健康行业信息安全非常资深，请聊聊这个行业中您比较关注的数字战略是什么？

顾伟：医药行业总体信息安全治理能力还没有那么高，特别是新兴药企，信息化能力还比较差。

信息化没有做好，就不要谈数字化，因为数字化一定是基于信息化流程的成熟，信息化是一个基座，数字化是推动业务，而信息安全是贯穿整个IT生命周期的。我们希望在不同阶段都能帮助企业正常开展业务，所以信息安全的治理一定是不可以放松的。

Q2

在信息安全治理能力偏弱的情况下，往前看它的治理路径应该是怎样？

顾伟：回到实际，与业务相关最紧密的，是企业本身面对的风险，从高中低风险的维度去构建你的信息管理体系。

做安全不是为了IT管理做的尽善尽美，我们做的更多是把企业面临的高危中危风险降低到一个可接受的程度，并且可以正常运营，在一个合理性价比的前提下。风险管理机制永远是信息安全大框架构建的第一步。

构建信息安全管理体系，要根据企业不同属性，包括资本背景，公司文化，所处行业，所处的位置，还有发展阶段。

每个CISO有自己的想法和节奏：就像我们看英超、意甲比赛，他们的教练员有自己的烙印风格，穆里尼奥是一个非常有自我风格的人，他的风格一定会打防守反击，那一定要先保护好自己的后防线，然后再开始做进攻；而有些就是完全开放式的，就是要全攻全守。企业也是有不一样的风格，每个CISO要找一个最适合自己企业的风格。

Q3

如何与企业业务决策人沟通信息安全的重要性呢？

顾伟：怎么跟业务的管理层沟通，要由三个点来切入：

第一，说同样的话，speak the same language。IT人不能用IT术语名词来替代通用的东西，我们需要让业务伙伴理解我们所做的事情，需要把我们的频道切换到一个正常的可以共同认知的频道，我们要把语言切换到一个更加朴实平实的语言。

第二，贴近业务，更多的去理解我们所处的业务环境。IT人不能贴着自己IT人的属性，不能老说我是做coding的，我是做infra的，我是做operation的，你一定要去学习新的业务知识，要贯穿业务，理解业务。

第三，通过委员会等渠道，通过让管理层认知，把我们想要他们帮助我们做的事情，对外宣传出去，得到高层的董事会和管理层的协助。要知道我们所做的工作就是保住整个企业皇冠上的明珠，也就是保住企业的竞争优势。没有安全，就保不住这个竞争优势，因此我们是互相协作、对等。我们没有对抗，一定是可以共赢的。

Q4

如何更好的向上沟通安全的预算？

顾伟：

第一，软能力要支撑你去获得这个资源，比如你的沟通能力，语言能力，共情能力。

第二，跨领域的知识储备非常重要，要学更多战略、业务，甚至财务会计甚至于公司治理。每个点都是你打破壁垒的一个手段。如果你手上有100样武器的话，你肯定有一个方面是可以突破的；但手上只有两三样武器，那你永远只能用这几个东西。

IT人一定不能只把自己当一个IT人，我们要把自己当一个“超人”，要跨越这个职务，去学习更多的新东西。打开眼界，我们安全是可以支撑IT的，也是可以支撑业务的，为什么我们不可以去跟业务沟通去“enable business”呢？

安全与整个企业相关：

1）企业的业务合规compliance；

2）风险管理risk management，包括政治的、经济的、宏观的、微观的、IT的；

3）数据的隐私保护data privacy，大环境下企业对个人信息保护的责任。

这三方面是向上传递安全价值的几个突破口，而不是说一些非常基础的打补丁，买防火墙，装杀毒软件，这些事情业务不会认为有巨大的价值。

Part.2

零信任与安全即服务

Q1

在最近的零信任安全峰会上，零信任之父John Kindervag的观点也是说不要只把零信任当作一项技术一个产品，而是作为一种战略。你对这个观点怎么看？

顾伟：零信任确实是今年明年都考虑的一个战略。我的IT战略里面没有一个叫技术的东西，因为技术永远是支撑我的战略的。John提到的这点非常好。

现在零信任很多场景，VPN替代，远程办公，应用隔离，边界安全，IAM等，其实都是一些技术和解决方案结合在零信任这个框架里面，去实现一个零信任的目标。零信任对我来说优势就是：

第一，它能不能帮我提升生产力；

第二，它能不能代替传统的安全解决方案的一些弊病和缺陷；

第三，它能不能更高效地提升安全的监控和管理。

Q2

零信任在医疗健康行业有一些什么特殊的应用场景？

顾伟：医疗健康行业有很多远程办公场景，还有一些很特殊的生产制造，我们的研发，都可以用到零信任的一些优势，比如应用的隔离，流量管控，甚至边界防控。我们还有大量的海外的销售，他们日常工作也需要这样一个平台和安全保障。零信任没有特别明显的行业壁垒，只要是有价值，行业是通用的。

（米小姐补充：你讲的跟零信任之父John的理念是类似的，他讲实践零信任的五步法第一步就是定位，你的核心数字资产在哪里，你要保护的这个界面是什么？在部署零信任时，他说云上也可以，公有云也可以，私有云也可以，甚至终端也可以，它是你怎么去实现你的安全策略policy的一个技术手段。）

Q3

关于厂商选择，刚才也提到一些标准，如果从公司性质来说，比较综合类的安全大厂和新锐厂商你有什么倾向性吗？

顾伟：个人没有偏见，并不是说小厂商不行，大厂商一定可以。更看重的是：第一，厂商的案例参考，第二，品牌的渗透，让人眼前一亮的东西。

比如我们是很拥抱Cloud的，很多解决方案都是“Sec as a Service”安全即服务。我们的管理层也很聪明和开明，使用云能够通过弹性、伸缩和资源池化，让服务来帮助我们，去做零信任的践行，而不是去大量采购设备，我认为这才是我们最终的一个目标。

Q4

关于上云的话题，看来您所在的企业上云已经非常充分，您在上云过程中经历过什么挑战？

顾伟：不同行业或多或少都会用到一些云服务，SaaS服务其实很多企业都已经应用了，核心点在于一些企业高度依赖这种公有云SaaS服务，还有一些企业是用非重要的服务，另外一些慢慢通过云服务渗透，量变到质变。

这么多企业在用Cloud，造成成本可控和成本低廉，应用服务能力能够得到保证，越来越多企业一定会逐渐使用云。基于中国的业务使用中国境内的云服务，国外使用当地的云服务。

如果企业到了某个发展阶段，它一定会突破去拥抱云服务。如果你永远去抗拒，认为它不安全不可靠，那你这个企业肯定发展不起来。如果有这种雄心和能力的企业一定不会抗拒云的。

Q5

上云之后安全肯定也要跟上，SaaS化安全跟传统安全比有什么优势吗？

顾伟：举个例子，SaaS化的话就有专家优势，相当于专家团队，包括部署的快捷性，敏捷性和快速资源的调配和伸缩，都是非常足够，这些都比我们自己的本地部署要快很多和方便很多。

而且我们现在安全人员的能力也有界限，我们内部团队没法从一个人变成10个人，变成100个人。做这种阶梯式跨越你需要依靠一些服务商，提供给你这样的专业知识，专家是很难招到的，而且你企业本身也不可能吸引来这些人才。我们更多还是希望能依靠企业来给我们提供这种能力，包括持续交付，持续提供安全高阶的知识，这是我们欠缺的，我认为这才是我们为什么需要有云服务最重要的点。

（米小姐补充：而且SaaS化能力对于厂商来说，它本身也是可积累的，是一种可持续发展。）

对，你是米其林厨师，我喜欢吃牛排，但我不可能回家自己做，我更希望拿一张VIP卡能够打折吃牛排，但我永远不会想着我在家里面也可以做出米其林厨师品质的牛排。这不是我想要做到的。

Q6

厂商还有一个困境，企业通常倾向集成性比较强的解决方案，越来越多功能被定义在了零信任解决方案里面。这种甲方的要求你怎么看？

顾伟：其实每一个甲方对厂商都有很高要求，我们也一样。我们希望他们多才多艺，既有服务能力，又有专业精神，价格又便宜，人员素质高，品牌又好，案例又多，100样都好。每个人都想这样，但是一般做不到，这么好的的基本上，我估计，存在在梦里吧。

很难，怎么办，只有找到自己最想要最关键的。不是要靠一个个体，而是靠很多的甲方乙方，构建在一起。既要靠甲方的能力，又要靠服务商的能力，也要靠咨询机构的能力，在一起合作，才能达到目标。只靠一个我觉得不太现实，不要抱不切实际的幻想，认为一个厂商可以做100样东西。

Q7

价格在您的考虑里面有多大权重？

顾伟：确实现在行业不景气，大家都紧缩银根，成本控制很厉害。在疫情之后，很多企业业务不好，包括零售，医药。但是真正需要的，我们是不会吝啬投入的。

Part.3

CISO的职业规划，国际化合规

Q1

聊聊您作为一位CISO的成长之路？有什么关键选择？

顾伟：职业规划建议就是要去尝试不同的角色，不要老把自己固化在一个角色。我是做IT背景出身，后来也做业务方面的信息安全，做中国的安全官，做亚太的安全官，现在又做到Global的。我永远在学习，always starting，不要老是觉得自己能独当一面。

我一直相信学历高是一定有优势的，包括做CISO，做IT的管理层，学习能力要很强，而且需要跨学科的学习。我有两个硕士，一个博士，我的能力就是在于我愿意学习。

Q2

从中国，到亚太，到Global的负责人，跟之前最大的不同是什么？

顾伟：大环境的变化，业务的变更都会造成职场人的不安全感。大家都知道安全人其实有很多不安全感，原来高管有“黄金降落伞”，他们被fire了，还有保护伞；但做安全很难，因为有很大的责任，有任何信息安全问题产生，你可能就要背责任。

我们需要能够保护自己：第一，你一定要去推动很多相关部门跟你一起合作，把安全的责任进行拆分，组织其他团队合作达成。第二，细节化，可视化地把安全讲出来，不是自己默默耕耘摸索，安全的贡献要跟风险管理挂钩，跟业务挂钩，这样我们才可以有故事可讲，才可以保证我们的职业发展持续下去。

当然也不是说做安全非常可怕，安全人可以提升自己的一些方法：第一，做好本职工作外，还需要能够多去了解业务；第二，更多依靠一些合作伙伴，高质量的伙伴可以帮你省很多时间，因为他们很专业；第三，多去看一些行业的动态。

Q3

目前国内跟国际的安全合规要求对你有没有冲突？

顾伟：不是冲突，是多元和混杂。国外的法律法规更加快和早，他们对数据保护隐私保护要求更加体系化、系统化，但我们现在已经颁布了《数据安全保护法》、《个人信息保护法》等，里面的很多是类似的。

差异是我们要根据中国的业务做中国合规的要求，国外你需要有国外的专家，比如美国的隐私保护专家，欧盟GDPR的专家，但你要去学习美国和欧洲的法律法规，如果什么都不知道，怎么跟他们沟通呢？

Q4

您现在有用国外的安全产品吗？

顾伟：80%以上都是国外的。

以前线下实施肯定要派人，但现在“Sec as a Service”安全即服务，不需要有人来现场，他们远程都可以做，所以更多考量是部署的快捷性，专业能力，24*7的服务。

所以选云安全这种模式，就是因为特定情况下得不到现场服务，我们靠的是专业团队指导我们工程师，和他们协作来完成，我们团队能够学习怎么正确维护它的能力，他们来做我们的L2-L3 support。

所以我认为现在疫情状态下，用本地部署解决方案反而不是一件特别聪明的事情，我们还需要多元化考虑。

Q5

我看到更多中国SaaS公司在考虑出海，你怎么看？

顾伟：对，出海是必然趋势。

举例一位朋友，一家公司合规head，非常聪明和开明。管理层想好了，亚太是以新加坡做跳板，利用这个hub，去辐射东南亚，发展到一定程度去打开美国和欧洲市场。那业务出海的时候，你的合规能力能不能出海呢？这也是挑战你的IT能力和你的安全能力，如果支撑不了，那就很麻烦。

Q6

你对出海的中国SaaS公司有什么建议吗？

顾伟：中国出海公司一定要是有技术优势的，如果能出海，一定要有特长。另外需要考虑不同区域用户的使用习惯是什么，他们对服务体系的要求是什么？

这跟我们国内国外开车习惯一样，我们可能喜欢车的内饰要漂亮、豪华，有奢侈感；国外尤其欧洲因为能源危机，他们要的是省油，省电，更加cost-saving。所以需要根据不同地域合作伙伴的需求做一些自定义，让产品更受欢迎。

（访谈中断，手机过热发烫，“聊太high了”，顾总说第一次遇到这种情况。）

Q7

管理一个跨国团队，有什么感受？

顾伟：管理团队是很复杂很费时的事情。

我团队有美国员工，第一，你要理解美国文化，要尊重他们文化差异性，不能说中国文化一定就压倒美国文化，要在一个团队下面形成共识。第二，要有一个非常高的价值目标，我们信息安全团队价值远远不止是帮助IT，我们一定也是在帮助业务，去保护我们的核心资产，去推动业务高速可靠的发展。我一直认为我们团队的价值是非常可观的，宏大的，这也是我传递给团队的一个概念。

你要把自己的价值定得高，你才有更大的动力和信息去做事情。简单的事情做好，当然是非常好；但是我们把复杂的事情做好，那不是更好？

Q8

你的安全团队和业务团队，是怎么样的沟通频率？什么形式？

顾伟：我们建立了一个委员会，两个月沟通一次，各部门都会加入这个委员会，法务、人力资源、研发、生产、销售都会在，让他们跟我们安全能够直接面对面沟通：第一，让他们理解我们需要让他们知道的信息；第二，给他们传递我们需要他们协助的活动；第三，让他们理解基本的IT和风险管理。

循序渐进，让大家更加认同，知道他们有这样的合作伙伴。安全团队可以帮他们，也需要依靠他们的力量。这是一个非常好的平台，持续沟通，这是获得成功的永远不会过时的方法。

（米小姐补充：这个委员会，公司的C level都会在？）

顾伟：对的，确实。

Q9

你有什么习惯你觉得对日常工作帮助比较大？

顾伟：我喜欢能够专注的一个办公环境。我会把时间拆解，开会是开会的时间，自己办公是自己办公的时间，这样比较高效，最好不要穿插在一起。

Q0

推荐一本触动你您的书吧？

顾伟：《我们为什么爱宋朝》！

为什么看这个，因为我们现在是要有一种向往的生活状态。宋朝我们知道是中国GDP最高的一个朝代，大家生活非常开心，房价不贵，美食娱乐活动又多，又不用宵禁。重文轻武文化开明，类似于一个乌托邦。文化认同感在里面起着很大作用，每个人都在一个生态圈里面各司其职。

其实安全也一样，归根结底你就是一个小小的因子。建议大家不要只看工具书和技术宝典，多看一些人文的，有情怀的，让自己开心的书，看完就会发现打开了另外一个窗口。我们虽然说要不断学习，但也要让自己能够放松的学习。

云深互联

云深互联（北京）科技有限公司（Clouddeep Technology），取名自中国唐代古诗“只在此山中，云深不知处”。古诗意为：（隐士）就在这座大山里，可山中云雾缭绕，就是不知他的行踪。古诗所描绘的意境和公司产品方向不谋而合：通过新一代 SDP（软件定义边界）网络隐身技术，使企业数据“隐身”于互联网之中，让黑客无从发起攻击，只对授权用户可见，从而有效保护企业数据资产。公司的使命是让安全更简单，让数字化更敏捷。我们致力于为企业提供零信任架构的网络安全产品与服务，技术具备国际领先水平，连续4年入选全球IT权威咨询机构Gartner的《零信任网络访问ZTNA市场指南》、《软件定义边界SDP市场增长研究报告》行业报告，也是工信部信通院《中国网络安全产业白皮书》的零信任安全典型代表厂商。