网络安全 频道

RSA访谈:企业内控化繁为简之道

  记者:问两个比较简单的问题,RSA这套新思路,有没有在用户节约成本这个关键问题上,帮用户降低多少费用,这个费用有没有比例?

  Sam Curry:您这个问题很简单,但要让我给出一个准确的数字来总结很难做到,这要花一段时间看最后的降低幅度。当然最大部分成本的节约应该来自于非常小的本地化公司,他们可以很大程度上提高效率、节约成本,但这种好处会逐渐扩散到其他大客户那里。

  记者:最近因为成本问题,PCI规范和内控都在做相应的调整,您认为这种调整是规范本身有问题还是出于成本控制的需要?

  Sam Curry:我觉得您的思路是对的,对于任何法规、规范都有成熟度曲线要遵循。一开始肯定是非常简单的指导性原则或者规则,之后简单的指导原则会逐渐演化为要求非常严格的要求和法规。第三个阶段才会看到,如果你不依从这些法规,遭受的罚款将会增长,最后才会发展到很具体的阶段,对某一个产品来说,最终要遵循一个上限和最高的要求是什么。之所以会沿着这样的曲线发展以及出台法规是因为现在有一些行为没有按法规行事,就像你想煮开水要逐渐加大火力才能达到沸点。如果行业都能自律就没必要出台法规了,但这种情况是非常罕见的。一旦有了法规就表明,至少这个行业的相关人士应该按照最低标准进行工作,如果连最低的法规标准都没有满足和达到,就会相应被罚款,并被严格规范。

  记者:众所周知做合规性企业都非常注重产品的本地化,就您的经验来看,中国用户和美国客户在做合规性上有什么区别,能否介绍一个国内客户使用合规产品的成功案例?

  Sam Curry:做合规产品的压力就像是人们要丢掉自己的一份工作所面临的压力一样,在美国如果没有合规,就会面临很重的罚款。还有一些宏观经济层面的影响,如果今年公司亏损了10%,但增长保持了百分之百,或者整体宏观经济是百分之百增长的情况,你不会担心10%的增长,如果你的亏损达到了10%,但整体后来经济的增长只有5%,你就会非常关注这个损失。现在美国就是这样的情形,现在经济情况非常不好,每一点的损失都是人们非常关心的。中国现在在合规方面的工作,就像美国推萨班斯法案时所经历的情形是一样的。就经济层面来说,我觉得现在的情形也不是特别好,但肯定不像美国在过去8个月所经历的情形那么糟,我觉得美国公司有着非常迫切的需要实现法规的依从性,当然中国公司也有这方面的需求。

  记者:美国的萨班斯法和中国的企业内控有很多不同,RSA如何在部署方案时会有哪些不同?对中国用户最后出合规性报告是否还需要再次开发?

  Sam Curry:我觉得这要看情况而定,首先中国行业或者中国的相应部门对新出台的法规有什么样的反映。我想传递的一条信息是我的确认为美国的萨班斯法案和中国企业内控制度是不一样的。我们的企业宗旨是让IT人员无论面临什么样的规范都可以做出真正的反映。我们应该花很少的精力来辨别到底要符合的规范是美国的萨班斯法还是中国企业内控规范或其他法规,更多把这个工作让我们的IT系统自己做出分辨。比如说在我的介绍中曾经给大家看过一张片子,上面密密麻麻写了很多法规,其实我根本就没有想过,而且我也坚决认为,这些法规都是不同的。我们应该能够转变整个IT行业,而且为每一个都配备一个模块,让它很容易发现所要符合的法规到底是什么。

  记者:现在与思科、微软的合作达到哪个阶段,大家采取什么形式合作?反馈怎么样?

  Sam Curry:这个问题非常好,目前我们的确收到很多最终用户反馈,但现在还没有在市场上把我们的产品推出去。微软现在其实已经制订出一个发展路线图,在他们的哪个产品或者哪个系统中会部署我们的哪个产品。相信我们第一批配套产品出货将在年底。思科应该是一个比较新的合作伙伴,他们将从IronPort产品开始。以后我们还会与其他的厂商合作。

  记者:今后与厂商的合作是今后我们的发展重心吗?安全厂商如何在其中保证自己最大的优势?

  Sam Curry:这两个问题都非常好,答案是肯定的,我们会做更多合作工作,虽然它不是我们唯一要做的工作。我们现在在投资两方面的工作,首先会以一种完全不同的方式来考虑与知识产权相关的问题。我们一些竞争对手也是非常优秀的公司,之前他们认为核心技术都是自己最为宝贵的资产,我也曾经为这些公司工作过,他们大可以继续保持这样的想法,在未来的二十天中进行竞争,但最终现在权在客户。我们的确要建立起很多智能,并以此进行竞争。它的好处就在于,作为竞争对手,他们可以参与到整个竞争过程中,通过自己的技术解决实际的问题。如果他们愿意参与到这样的竞争中,我们非常欢迎。欢迎他们通过自己的技术实力给整个客户带来价值。

  记者:RSA跟微软和思科都在谈合作,RSA在选择这类合作伙伴时有没有什么标准?

  Sam Curry:我们的确有标准,因为资源有限,不可能与无限量的合作伙伴合作。但是我们的目标非常明确也很直观,就是让我们的技术尽可能延伸到各个地方。所以首先第一个标准,要和我们合作的公司是否与我们具备同样的想法。第二个标准,这些要合作的公司规模是否足够大,足够影响整个IT系统。我们的资源会从最大到最小的方式进行运作。当然在建立生态系统的过程中,还会有越来越多合作伙伴会加入我们,我们对此持开放态度,只要他们跟我们持有相同的想法,我们会关注他们。

  记者:我们的内控法拖到明年1月1日,明年1月1日还会有很多企业根据国家法律做内控变动,由人控变成机控,Sam对企业有什么没有建议?

  Sam Curry:当然我们其实有一个产品叫enVision,可以帮助他们实现合规。我试着回答这个问题时尽可能少地宣传我们这个产品。IT系统应该是服务于我们的,首先我们应该给出一些指令,指示IT系统如何做,其次IT系统要回馈我们,它是如何完成的。实际情况如果你从产生报告或者做审计开始,比从给出指令开始聪明得多。自动化会使系统变得更可靠,也使这个系统变得更具可扩展性,也更容易进行复制。所以最重要的是跟相关咨询者进行沟通,让他们知道你们的目标是什么,对你们来说怎么做才是最合适的。我以前也碰到过类似的情形,在此通过各位提醒广大读者。你要保证的是做完报告后给出的IT指令是非常正确的,因此要使用恰当、正确的工具,而且这些工具是可以被修改的。这只是目标之一,还有许多其他的目标也需要实现。因为最终的目标就是要让IT系统服务于整个公司。

  记者:在RSA提倡建立安全生态系统概念中,谁将是领导者?是那些实力非常雄厚的基础设施厂商还是对安全知识了解非常深入的安全厂商?

  Sam Curry:当然我希望不要是“非此即彼”的关系,最好是我们这样的安全公司和拥有先进技术的基础设施厂商共同领导。在过去的历史中,曾经有过很多现象,那些拥有非常好的技术公司,实际上最后很多都以失败告终,而那些真正的赢家可以切实听取客户意见,做出反映满足客户需求的公司。但无论怎样,未来五年中我们都可以看到许多好玩的事出现。

0
相关文章