【TechTarget中国原创】Steven Katz是IT安全咨询公司Security Risk Solutions的创始人兼总裁。他被广泛的认为是第一位CISO。他有30年的安全行业的工作经验，曾在JP Morgan、Citigroup和Merrill Lynch管理信息安全。（1995年，在Citigroup，他被称为CISO。）目前，他是多家厂商的顾问团成员，包括数据加密厂商Voltage Security, Inc.。在Voltage Security, Inc.，他极力倡导数据加密技术。他还是Roundtable Network的首席顾问和圆桌仲裁员。Roundtable Network是为CISO、CRO、CIO和IT行政人员提供的交换信息安全、风险管理、治理和隐私方面的意见的论坛。

　　为什么现在有这么多的数据泄露？你有什么看法？

　　Steven Katz：我们必须承认两个公理。我正对我的一个朋友解释主要金融机构的问题：数据应该免费并共享。这是数据的属性。第二个是网络一定会受到攻击。这两种方式的结合使我们不得不关注数据，保护信息，不管信息在哪里、存储在哪里以及它是否在传输等状况。数据最终会被人看到，那些人是你不想要他们看到的，答案是数据应该受到保护，无论它在哪里。有效保护数据的唯一方法是执行和制定良好的数据加密项目。

　　我们过去所关注的是当我们对一个数据串加密后，我们得到的是更长的数据串。如果你查看一个数据库，你就会丢失所有的参照完整性以及你提出来的校验总和。所以问题依然存在，至少有一个公司或者更多公司存在所谓的格式保护加密。在这里信用卡号码、个人认证号码和个人保健信息就可以被加密。而且你可以维护数据域的规模，维护校验总和并保持整个数据库的参照完整性。

　　在很多情况下，是不是说起来要比实施简单得多？配置加密的难度有多大？

　　Katz：它并没有看起来的那么难。密码术有很长的历史。有很多技术良好的公司使加密变得没那么困难。配置任何设备都很困难，但是现实是你必须和你的客户群之间存在可信赖的关系。当我在Citi的时候，我们有一个信息安全意识项目。我们说Citi有两个产品：资金和信任。如果你没有卖掉信任，你在资金的出售方面就存在困难。我使用互联网的任何时候，我都相信他们可以为我的信息保密。

　　但是很多公司的数据都没有很好的解决办法。他们不知道数据存在在哪里，特别是有多个复杂系统的大型公司。我认为你可以发现大部分关键数据存储和开始的位置，如果你加密50%的问题，你就可以提前50%。我认为我们从来没有100%加密过，但是我们可以越来越接近。这是个很复杂的问题。

　　如果公司配置加密，成本会生效吗？

　　Katz：我的理解是成本开始明显下降了。很多人都开始使用。有很多厂商都在这个行业竞争，而对于竞争来说，没有什么比得上成本。目前格式保护加密已经成为现实中可以实施的方面，而这个比较容易介绍。最糟的是把15个字符的信用卡号码转变为150或者180个字符的加密号码。这样不起作用，但是如果你可以提前一步，把15个字符的信用卡号码转变为15个字符的加密信用卡号码……我看不到有任何不这么做的原因。

　　作为一位CISO，您有着深厚的背景。这个角色以后有什么变化，您是怎么看的？

　　Katz：1995年，在Citigroup，我成为了这个行业的第一位CISO。这真的是这个时候的一场革命。我们想要把信息安全作为一性商业风险管理问题。我大量的时间都是和高级商业行政人员、Citigroup的运营人员一起工作，以及和运营风险管理委员会一起工作。风险管理委员会是董事会下的一个分会。现在我们看到了很多这种情况。越来越多的人开始做首席风险主管或者首席信息风险主管。这些职位的人员会把商业放在第一位，技术放在第二位。有一种理解是商业是冒着风险在增长，并认识到你所做的一切事情都存在平衡。