计算机系统专家Tom Pyke已经为美国政府服务了30多年。他开始在国家标准技术研究所工作，随后进入了国家海洋大气管理局，并在那里成为了该局的第一位CIO。在那之后，他曾在美国商务部工作过30年，致力于该组织IT安全架构的全面改进与21亿IT预算的管理。五年前，因为美国能源部出现了重大IT安全威胁，他临危受命，被空降到了该署。二月份他刚正式退休，但其忙碌的身影未见有半点停歇。

　　5月19号，Pyke将特邀出席MIT斯隆管理学院的年度“CIO研讨会”并发表演讲，主题是“CIO悖论及其解决之道”－CIO如何利用技术来扩大业务经营，同时保持低成本运营。

　　SearchCIO.com对Pyke进行了一次专访。Pyke在本次采访中就如何应对IT安全威胁侃侃而谈，包括CIO对供应商施压以进行更多软件测试，用户认知度培训的重要性，以及为什么IT与财务部门的分离是必须的。

　　在您多年的IT职业生涯中一定经历过很多IT安全攻防事件。据您看来，下一代IT安全威胁是什么？

　　Pyke：实话实说，虽然来自外部的安全威胁千变万化，但是我们防范起来是万变不离其宗，因为其攻击方式从本质上看几乎没有变化。实际监测表明，尽管我们努力消除系统和网络漏洞，对于复杂度越来越高的恶意代码植入攻击还是有些防不胜防。

　　系统有可能强大到完全不惧怕这类威胁么？

　　Pyke：不可能。因为，如果网络攻防是一盘棋，攻击者永远是先手。他们总能找到进入我们系统的途径，窃取我们的数据，破坏我们的系统/数据完整性，直到完全中断我们的业务。

　　不过，还是有不少好办法能实现更为坚固的防范措施。例如，在通用软件发布前进行更全面细致的测试，就可显著减少攻击者可以利用的系统漏洞。不幸的是，增加测试会推迟软件的发布日期，从而削弱该软件供应商的竞争力。因此，一方面，甲方或政府机构应该将更严格的软件测试纳入采购需求规范，另一方面，公司或政府机构应联合起来要求供应商的应用方案包含更少漏洞。

　　现在这方面的进展如何？

　　Pyke：有一些，不大。与供应商进行的讨论也不少。几年来我一直在参与这类讨论活动，鼓励供应商进行更多的测试，并告诉他们这对甲乙双方都有好处。

　　你加入国家能源部不久就赶上了一次重大安全事故，起因是一位雇员误点了包含恶意软件的邮件。人为因素导致的安全风险到底有多大？

　　Pyke：用户安全意识培训对于加强风险防范非常重要。通常情况下，安全攻击看起来是不明显的－它也明摆了不可能明显。对用户来说，收到的邮件看起来不是来自他/她的同事/老板，就是来自其他的合法政府机构。很不幸，在互联网上欺骗用户很容易，打着某家公司/政府机构的旗号欺骗用户则更容易。

　　几年前，能源部的那个遭到过攻击的部门又遭到了一次“钓鱼”攻击，这次的目标是2000台工作站。幸运的是，只有8个用户因点击而激活了恶意软件。这一次的成功可以来自上次的“亡羊补牢”－用户安全意识培训，因为只有及早发现攻击企图才能在造成更大损失前将其掐灭。

　　那次安全事件之后您开展了一项有趣的培训活动。能否就此谈一谈，譬如在哪儿检验员工的邮件安全意识？

　　Pyke：某些时候，我们的确会模拟出一个环境供员工测试，测试通过我们还会稍加鼓励。但是，这种方法会得出各种各样的结果，因此我并不推荐－尽管某些时候能帮助提高用户安全意识。

　　如果安全隐患来自员工的玩忽职守或欺诈行为，CIO有责任去发现并处理么？

　　Pyke：其实，CIO的职责是检测并保证系统/网络中没有异样发生。无意点击了一封错误的电子邮件－因为看起来实在像正常的－显然不是玩忽职守，至少在我看来。而且，100％的用户防范意识或100％的异样检测率都是不可能的。

　　欺诈则是另一回事。政府部门普遍下设监察机构。以能源部为例，其下设反间谍机关，时刻监督防范任何蓄意破坏系统、数据或其他资产的行为。所以，CIO的工作就是部署好电子系统，以配合相关机构进行发现和指证有蓄意破坏行为的嫌疑人。

　　还有一点，公司或政府的人力资源部门也能帮助处理相关问题，例如欺诈识别、纪律规划等。

　　在向高层或董事会证明IT投资的有效性时CIO总是面临着很大压力，在目前经济衰退的大环境下尤其如此。那么，CIO需要拥有优秀的金融才干么？

　　Pyke：我还不知道是否有为CIO量身定做的金融培训。不过，一方面我们和财务总监保持良好合作，另一方面我们有很多通晓项目管理和金融事务的专家，所以我们的工作都还进展顺利。顺便说一句，本月19号在MIT斯隆管理学院的“CIO研讨会”上我会就“CIO如何支持业务增长”进行发言，并强调CIO作为机会领袖的职责－领导IT团队为组织发现任何有竞争优势的机会。

　　你的演讲主题是“CIO悖论的解决之道”。什么是CIO的悖论？

　　Pyke：据我理解，CIO的悖论包括……利用IT……如何多快好省地实现组织的任务。这里的“多快好省”就是悖论。无论是平时还是经济衰退期，这都是最另CIO头疼的一件事。

　　就你看来，帮助CIO达到这一目标的工具是什么？

　　Pyke：在我看来，CIO为实现这一目标，仅仅知道技术是不行的。你刚刚问到了财务管理，是的，那很重要，但我们还不至于同时兼任财务总监。技术和财务是不同的工作，只有创建不同的部门并配备专职人员分工合作，才能实现“多快好省”的目标。

　　另外，大型机构的管理经验对CIO也是无价之宝。我曾是国家海洋气候管理局卫星信息服务部的副主任，任上我管理着气象卫星及全国的环境数据，部下有1000人。尽管我们对IT有绝对的依赖，但我们做的不是IT工作，而是一项重要任务，卫星运行。同时，我还主导着一个新项目的启动，直接汇报对象是副总统戈尔。那是一个高度创新的科学教育推广方案，受众是100多个国家的数以千万的少年儿童。这些来自23000所学校的孩子们现在正在边学习自然环境的知识边动手做实验，底层支持全部来自IT。这个，我们称之为项目集管理。所以，CIO如果能在掌管IT部门的同时有更多的业务及项目集/项目组合管理经验，他们便能更自信地来实现“多快好省”这个目标。