Lenovo 首席安全官 Doug Fisher 身兼雙職。他不僅負責公司的整體安全態勢，還主導公司的人工智能 (AI) 治理計劃，將安全協議的嚴謹性應用到這一快速發展的領域。

在最近接受 Computer Weekly 采訪時，他分享了 Lenovo 的安全和 AI 治理策略，闡述了公司如何在瞬息萬變的數字環境中與客戶建立并維護信任關系。

Fisher 表示："我更適合被稱為公司的信任官"，這體現了他雙重角色的總體目標。這種對信任的重視貫穿于 Lenovo 安全運營的方方面面，從基本政策和員工文化，到滲透測試和紅隊演練等技術措施。

Lenovo 戰略的一個關鍵要素是 Fisher 所稱的安全"萬神殿"觀，包括政策、文化、基礎設施安全、平臺和產品服務安全、供應鏈安全以及物理安全。所有這些領域都匯聚在一起，保護數據隱私和安全，這是客戶的最高優先事項。

在 AI 治理方面，Lenovo 建立了一個集中的開發項目審查流程，嚴格審查道德考量、數據隱私、知識產權問題、數據傳輸合規性，以及最近的數據主權問題。Fisher 說："已有近 600 個項目通過了我們的審查流程。"

最初，約 30% 的項目未能達到嚴格標準，但通過持續培訓和反饋，這一比例已大幅降至 19%。他將這個過程比作 F1 賽車的嚴格規則，指出即使是微小的疏忽也可能導致重大挫折和聲譽損害。

Fisher 的團隊采用多種安全措施，包括基于 Microsoft 等行業巨頭最佳實踐的安全軟件開發生命周期、內部和外部滲透測試，以及模擬真實攻擊的紅隊演練。公司還通過漏洞賞金計劃積極與安全研究社區合作，激勵道德黑客識別和報告漏洞。

Fisher 承認威脅情報的關鍵作用，表示 Lenovo 與威脅情報供應商合作監控新興威脅并相應調整防御策略。此外，公司為部分產品和服務運營自己的安全運營中心 (SOC)，同時也利用外部 SOC 能力。

針對網絡安全行業持續面臨的人才短缺挑戰，他強調了在 Lenovo 內部培養強大安全文化的重要性。Fisher 說："你最大的資產可能成為最大的漏洞"，指的是員工疏忽可能造成安全漏洞。

為降低這一風險，Lenovo 要求所有員工(包括 CEO 和高管)參加年度安全培訓，并嚴格執行合規要求。這延伸到網絡訪問管理，采用零信任政策，嚴格控制設備接入網絡。Fisher 的團隊還基于風險評估框架對漏洞修復進行優先級排序，將資源集中在最可能發生和影響最大的威脅上。

生成式 AI 的興起和員工可能使用未經批準的第三方工具帶來了所謂"影子 AI"的新挑戰。Lenovo 通過創建已獲批準的 AI 工具"白名單"作出響應，簡化安全審查、法律合規和許可協議。這些工具的訪問權限進一步限制于授權員工，以防止濫用并確保符合許可條款。

作為全球最大公司使用的服務器、設備和系統的主要供應商，Lenovo 實施了"透明、可信的供應鏈"計劃，包括對所有供應商和組件進行安全審查。

公司還控制其制造設施的物理安全，采用防篡改包裝和產品追蹤機制，有效建立從工廠到客戶的監管鏈。Fisher 說："我們認為供應鏈的每一步都存在風險，我們努力消除盡可能多的風險。"

當被問及最令他擔憂的問題時，他指出了 AI 推動的復雜攻擊加速發展。Fisher 強調了深度偽造和社會工程策略的日益普及，強調了建立強大安全文化以應對這些新興威脅的重要性。他說："AI 的加速發展讓我最為擔憂"，并補充說他采用了英特爾前 CEO Andy Grove 倡導的"偏執"安全方法，認為只有偏執狂才能生存。