如何在业务和安全中求平衡
开篇:润墨网以专业的文秘视角,为您筛选了一篇如何在业务和安全中求平衡范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
3年前的那次著名的破解安全系统的案例在当时给许多企业敲响了警钟。曾任职深圳某高科技公司工作的一名工程师利用互联网多次侵入北京移动公司的数据库,窃取充值卡密码向他人销售,造成北京移动损失370多万元。据这名黑客自己的交代,因为他曾听说中国移动打造了一个价值1.2亿元的网络安全系统,而他只是“想试一下安全程度到底有多高,就通过密码登录到移动服务器,再跳转到北京移动的主机,取得了最高权限”。
并非这个黑客的技术有多么高深,而是因为企业购买的软件系统存在一个初始密码,如果不强制更改密码,即使时隔几年之后,软件供应方仍然可以通过初始密码轻而易举地攻破系统大门。可以看出,只重视技术无法杜绝泄密事件的频频发生。试想一下,如果存在定时的日志审查或巡查机制,黑客也就不会轻易地找到可乘之机了。所以,信息安全的关键不只是技术,更重要的是从管理上提高重视程度。
设立CSO是大势所趋
信息安全事件一般存在规模大、影响大、损失大这三个特点,包括大批量的个人信息和隐私被盗用,或者企业的重要资料被竞争对手获取。埃森哲公司信息技术部技术总监沈翼说,其主要原因首先是安全威胁的不断增长。从2008年的一次针对安全的调研中可以看到,在过去几年中,各种安全手段、方式和工具都在成倍的增长,尤其是值得注意的是,虽然企业在安全管理方面做了大量的工作,但从员工内部入侵导致安全损失的比例仍迅速增长。
另一方面,沈翼说,当前的安全攻击也出现了质的变化。如果说十年前我们听到有关安全的破坏可能是由于个人的兴趣爱好,而主动选择一些有漏洞的网络进行破坏,从而取得一定的成就感的话,那么当前的安全攻击越来越多地是一种有组织的犯罪行为,已经构成了隐形攻击或地下攻击。如今在国际上几分钱的价格就可能买到一张病毒报,一万美金就可以预定一次对企业安全的攻击行为。攻击的复杂程度和使用手段的先进性远远超过了十年前,信息安全也已成为影子经济的重要组成部分。
在这种情况下,十年前作为CIO或者安全负责人,在IT安全过失上往往负有很少的责任,但是随着企业的损失越来越大,可以看到因为安全损失造成的企业罚款或者解雇高管以及刑事处罚的案例不断出现。在这种形势下,拥有一个懂得安全合规性的CSO(首席安全官)已经成为企业的必然趋势。
信息安全存在矛盾的力量
来自国际认证机构挪威船级社大中国区ICT技术经理李艳杰。她说,在大多数企业中,通常惯用的手段是技术为上,一旦出现问题,首先考虑的是上一套系统,或者采购新的设备,并没有想到应该调整企业的安全策略。甚至还有一些规模较小的公司认为只要控制住数据,“什么都不做”也没有问题。
而引发安全问题的首要原因就是管理不善,企业里一般的解决方法是调整流程、技术或者招募新人。也就是说,信息安全实施的实际状况是以技术为主,管理为辅,在管理上花的力度相对而言微弱很多。
人们普遍的意识是互联网有风险,那就建立一个不连接外网的局域网,明确企业和外部的接口。由于来自外部的威胁不可确定,也不受企业管束,所以企业对外以技术防范为主。对内才以管理为主,比如通过教育提高员工的安全防范意识,或用划分办公网、生产网等网段的管理方法。从最初单纯的收发Email,到现在名目繁多的内部管理系统,企业的网络发展经历了几次不小的飞跃。直到现在,互联网带来的威胁与便利共存,且无处不在。
所以,信息安全管理体系在有的企业已经上升到和业务同样的地位。
信息安全本身存在一股矛盾的力量,从提高业务快速响应能力和提高IT支持业务能力的角度,我们希望采用大量、便宜的消费品差异化技术,以及能够快速沟通的协同技术实现信息传递。但如果从信息安全的角度,则是完全相反的。微软的操作系统漏洞看似较多,也是因为使用者众多,相比之下精通大型主机的操作者非常之少,对主机的攻击看上去也就寥寥无几。
所以,对CIO和CSO来讲,信息化建设和信息安全的建设本身就是一种平衡的策略。信息安全一定要站在整个企业信息化的角度,而不是纯粹从信息安全技术的角度看问题,所以在进行信息化安全投资的时候,要和整个公司的信息化架构策略对照,而不是抛开企业信息化去竞争。
技术趋势带给CS0的挑战
美国在不同的行业和企业的安全方面的法律法规达到8500多项,平衡企业风险涉及到安全威胁和威信投资等各种因素。在合规性之外,技术的发展也对信息安全管理带来了很大的挑战。比如来自任何地方的用户都可以使用各种设备进行信息访问,一些敏感数据很容易就会暴露在外,还有客户和企业之间的数据共享和利益冲突等,都在技术层面给CIO带来了很多困难。
在技术发展方面,第一种趋势是非常明显的业务驱动力,比如低成本地提高运算效率,支持高峰流量等。因为需要调用其它的个人或企业资源,给企业的安全管理提出了重要挑战――企业的基础设施和计算资源不再是企业自身能够完全控制住的。这种情况下,如何保护资源和设备,如何做好安全管理,是作为CIO和CSO必须处理的问题。
第二个技术特点就是新型系统集成。以提供某种新服务的网站为例,只要用户输入锁定数据模式的基本行程,这个网站就会根据其行程进入其它类型的包括天气、景点。旅行航空公司等网站,把所有跟行程相关的信息从各个合作伙伴处收集起来,用户可以自由地删改编辑。这种系统集成在业务上是给客户带来了价值,但是在安全管理方面却带来了难题:如何在企业数据开放的情况下,在信息融合集成的情况下对这些关键数据进行有效的保护?
最后,在数据管理方面,安全决策在不断发生着变化。数据和信息已经成为绝大多数企业最重要的安全资产。不远的将来,对于数据的管理将会整合到企业的业务流程当中,每一个环节都会加强对数据的管控,比如雅虎在2006年就开始招聘首席数据管。未来的ClO会越来越多地担负起确保数据安全的责任。
面对上述挑战,要建立一个卓越有效的安全管理体系。作为CIO或CSO要解决的问题是,必须了解目前企业是否已经充分理解业务存在的风险,是否能清晰地看到企业或组织的安全管理的工作状态,是否能够确定目前对安全的投入产出比是合理的;其次,针对安全加载的多种控制是否影响到用户体验,是否具有相对友好的界面;最后,安全管理是否能保证企业的业务是否能应对快速变化的市场环境。
安全管理的动态平衡策略
“在刚刚过去的2008年里,国际金融危机给全球带来了30万亿美元的损失,以及上千万的失业者。据世界银行的研究报告预测,2009年世界经济还将下滑1.7%,全球贸易将下降6.1%,在此次抵抗经济危机的保企业、保稳定、保增长行动中,信息化对企业、政府在运作时降低成本、促进发展、提高效率和应对危机起到了至关重要的作用。随之而来的,是信息化管理软件和物资调配系统的畅销。”这是在近日召开的Future S中国管理论坛第十七站“第五届信息安全与业务连续性管理峰会2009”上,上海市经济和信息化委员会副主任陈跃华的一段发人深省的发言。
金融危机“冷却”了许多行业,却“热醒”了人们的安全意识。
在这种形势和挑战下,企业怎样才能实现卓越有效的安全管理?安全风险是一个平衡的技术,即在持续的过程当中不断调整风险策略和风险计划,不断适应变化的市场压力和业务目标。对风险的应对能力和对业务的捕捉能力就像一个象限的两个坐标轴一样,共同作用和限制于企业的安全管理水平。
有的企业不太关注,也没有采取太多的应对措施,而且所处的市场竞争也不是很激烈,业务能够实现平稳发展;有的企业希望快速地捕捉到业务机会或快速提升业务响应能力,虽然新业务发展很快,但他们为了这样的机会往往放弃对信息安全的控制,等安全漏洞一旦爆发可能带来的就是毁灭性的打击;还有一种企业的策略是不但对业务捕捉有所要求,对信息安全的威胁也是斩尽杀绝。
埃森哲技术咨询总监应向荣推荐的是在其中谋求动态的平衡,因为在变化的市场环境里,企业很难一成不变,可能在特定时间点上更关注新业务的发展、新业务能力的提升,而另一个时间段又对安全控制提高了要求,最终使业务能力和信息安全之间达到动态平衡的策略。这是做信息化和信息安全工作首先要思考的纬度。
实现卓越绩效的企业安全的第一步就是了解当前企业安全的成熟度,然后指定一个发展蓝图来改善其效能。利用实践证明有效的方法论,基于最佳安全实践进行行业标杆对照,分析安全控制活动的优先级和安全能力提升的建设路线,收集数据之后再进行评分以及差距分析,通过优先级的评价,最终形成适当的路线图。