C114讯 10月23日消息(张晓迪)首届成都·世界信息安全大会在中国西部国际博览城隆重举行,大会以“信息时代,安全发声”的理念,将优质信息安全内容带入中国西部、一流信息安全资源引入成都。在现场,阿里巴巴钉钉CRO的张作裕发表演讲,表达了作为一家企业是如何看待风险管理的。他表示,站在业务角度做全面风险管理,减少基于平台化能力提升的资源投入。
在演讲伊始,张作裕为大家分享了一个小故事。由于历史原因,导致在美国请黑人吃西瓜成为了种族歧视的表现。这个习俗对于其他国家的人来说有些难以理解,但是文化、认知以及经历的不同,会让人们对事物有着不同的理解。在中国也有句俗语叫:夏虫不可语于冰。说的也是这个道理。
通过这个故事,张作裕想告诉大家CSO在与业务总裁沟通出现问题时,往往会出现认为老板不懂安全,但在张作裕看来是CSO不懂公司业务。他表示,最重要的三个问题分别是:要做什么?能做什么?想做什么?
对于公司里面安全“要做什么、怎么做”是与业务方对齐,而“能做什么”是自身能力,基于这两个之外考虑的“想做什么”就是全面风险管理。
张作裕表示,担任一家公司的安全负责人,首先要判断两件事。第一是“步子能够迈多大”,第二是“路能走多远”。“步子能迈多大”指的是是全风评估。这个评估表格可以多种多样,但核心问题主要有固有风险有哪一些,防控手段、覆盖度、业务负责人,以及治理投入等。
“路能走多远”是基于步伐大小决定,如果步子很大,团队预算不够就会出现问题。从安全视角做风险排序,按照专业技能重新排列,确定优先级,就能够得到一个更加完善的业务顺序,在很大程度上也能获得更多预算。
随着技术设施越来越完整,操作系统包括手机包括OS的发展趋向于完整和满足用户需求,在安全上的提升非常快。所以张作裕认为没有必要投入过多资源在基于平台化能力的提升。 
