现在，一个关键问题提出来了。如果IT安全问题跟IT技术那么相关，是不是这个问题就应该由企业的IT部门来负责？

答案是否定的。

“企业和Internet之间的防火墙，起的是‘边界’的防御作用。但如果风险发生在企业内部，恐怕任何防火墙都无法解决。”裔云天说，“比如，你公司某个新产品发布之前，产品信息被内部员工泄漏了。企业内部泄密，再好的防火墙也无能为力。这就不仅仅是IT部门的事情了，可能需要企业内控手段来干预，比如法律、员工教育，就涉及到法律部、HR部门等。是个浩大的工程，不仅仅是IT技术能解决的。”

裔云天强调，正如前面所述，IT风险与企业经营息息相关。如果不把企业的经营活动和与经营有关产生巨大损害的风险纳入到IT风险里面。那么，再贵的安全产品和再牛的技术人员也解决不了风险问题。

裔云天建议在组织架构上可以参考国外一些企业的方式，设置CSO（Chief Security Officer，即首席安全官）这一职位。它跟IT部门相对独立。在国外很多银行、保险公司等其他类型公司都有设置。在不同的公司，CSO有不同的含义，有的负责保护物理安全，例如保护公司数据中心各种设备的安全；有些负责数字信息安全，例如防止公司网络遭到黑客的攻击。CSO主要负责监控、协调公司内部的安全工作，包括信息技术、人力资源、通信、设备管理以及其他组织，CSO还负责制定公司安全措施和安全标准。此外，CSO还需要经常举办或参加相关领域的活动，例如参与跟业务连续性、预防损失、诈骗预防和保护隐私等议题相关的活动。

业界企业应做什么努力？

“IT架构由各个部件构成，比如防火墙、路由器、操作系统、杀毒软件等等。只有整体安全性增强，整个IT安全才更有保障。”裔云天说，“微软也一直将安全性作为软件开发的重要标准。早在2002年，比尔 盖茨就宣布推出‘可信赖计算’这一创新理念，并承诺微软将通过开发更安全、可靠的软件，为用户提供更值得信赖的计算体验，用软件帮助人们更好地保护个人隐私和数据。”

与过去的情况相比，裔云天认为现在应用软件的安全威胁已经远高于操作系统。这是因为随着微软操作系统安全性的不断提升，黑客的破坏难度加大因而转向应用软件。而目前大多数应用软件的开发问题在于只重视其功能性而忽视安全性，因此造成各种漏洞频发引起大规模的破坏。

事实上，在2001年911事件后，比尔 盖茨曾给整个公司发邮件强调信息安全的重要性，并组织所有的技术工程师放下手头的工作连续三个月时间请安全专家培训如何书写安全的代码。他表示，在2002年之后微软大力重视安全工作并着眼于建立可信赖的安全架构。微软相信要创建更可信赖的计算环境主要包括以下三个方面：首先是创建一个可信架构，在这个架构下，安全植根于硬件，而且架构内部的组件可以在恰当的条件下互相验证；第二个方面，在于如何管理验证身份的请求；最后微软认为要实现这一目标不仅需要与业界合作伙伴在建立更安全隐秘和可靠的计算体验方面做出持续的努力，还需要结合技术、社会、政治和经济方面的力量来取得实质性进展。目标是使用户能够控制他们的计算环境，提高安全性和隐私程度，而同时又不损害大家所珍视的互联网的优点，例如匿名性和言论自由。

（注：文章刊载于12月8日出版的《商学院》杂志，作者石丹）