“我認(rèn)為傳統(tǒng)IT安全有點(diǎn)像希臘神話里的西西弗斯����,”中東某金融服務(wù)公司信息系統(tǒng)和安全經(jīng)理J. Wolfgang Goerlich表示,“每天����,我們將巨石滾上山,我們盡可能地確保很多系統(tǒng)(或者說巨石)在山頂?shù)陌踩����。一夜之間,新攻擊出現(xiàn)了�����,新漏洞發(fā)布了�,第二天,一些系統(tǒng)又變得不安全了�,我們不得不重新開始將巨石滾上山。”
Goerlich認(rèn)為�,如果安全企業(yè)想要改變這種局面,他們必須在他們的決策框架中嵌入風(fēng)險(xiǎn)管理的原則��。以下是安全專家總結(jié)的IT安全需要風(fēng)險(xiǎn)管理的四個(gè)原因:
幫助優(yōu)先關(guān)鍵系統(tǒng)
Goerlich表示�,由于企業(yè)信息安全專業(yè)人員太少,而需要管理的系統(tǒng)又太多��,傳統(tǒng)的方法使他們很難決定應(yīng)該優(yōu)先哪些系統(tǒng)。
“此外��,滾巨石上山并不是安全的目標(biāo)����,其目標(biāo)是確保企業(yè)能完成其使命,”他表示�����,“風(fēng)險(xiǎn)管理是一項(xiàng)重要的技術(shù)��,它側(cè)重于確保企業(yè)完成其目標(biāo)��,以及優(yōu)先考慮關(guān)鍵系統(tǒng)�。”
Entrust首席技術(shù)官Jon Callas表示,風(fēng)險(xiǎn)分析以及基于這種分析的管理能夠幫助企業(yè)“少花錢多辦事”�。
他表示:“通過分析威脅類型,以及衡量任何類型安全故障的后果����,你能夠更好地了解你正在做的工作以及為什么這么做的原因。”
幫助將安全翻譯成業(yè)務(wù)語言
AlienVault公司研究工程師Conrad Constantine表示�����,風(fēng)險(xiǎn)管理能夠讓信息安全與整個(gè)企業(yè)相關(guān)聯(lián)。
他表示:“沒有風(fēng)險(xiǎn)管理的安全消耗著企業(yè)的資源�����,并且沒有實(shí)際作用����。”
風(fēng)險(xiǎn)管理的方法并不是安排信息安全人員去抵御最可怕的威脅����,而是采用了純經(jīng)濟(jì)的方法,讓IT回到實(shí)際問題中���,即保護(hù)企業(yè)在信息系統(tǒng)方面的投資���。
“你會花2000美元來保護(hù)價(jià)值2000美元的東西嗎?這毫無意義。如果沒有風(fēng)險(xiǎn)評估����,你無法評估你的風(fēng)險(xiǎn),因而����,你也無法評估你應(yīng)該花多少錢����,”Network Box USA公司首席技術(shù)官Pierluigi Stella表示��,“適當(dāng)?shù)娘L(fēng)險(xiǎn)評估是很重要的��,它能夠幫助你評估你應(yīng)該花多少錢�����。你正在保護(hù)什么?它值得你這樣做嗎?如果你丟失這個(gè)信息或者信息落入壞人手中�����,你的公司會面臨怎樣的影響?對這些問題進(jìn)行評估�,然后進(jìn)行管理。”
根據(jù)BT Global Services的Bryan Fite表示��,風(fēng)險(xiǎn)評估其實(shí)有點(diǎn)名不副實(shí)����。
“它應(yīng)該被稱為風(fēng)險(xiǎn)及獎(jiǎng)勵(lì)管理,因?yàn)樗P(guān)系著企業(yè)的業(yè)務(wù)決策�����。為了讓業(yè)務(wù)部門了解這些問題,你必須用業(yè)務(wù)的語言來解釋�,”BT Global Services的Bryan Fite表示,“采用規(guī)范化和被接受的語言��,安全專業(yè)人士可以更有效地與那些控制預(yù)算和決策的人進(jìn)行溝通����。”
幫助評估技術(shù)
通過將談話焦點(diǎn)放在業(yè)務(wù)優(yōu)先事項(xiàng)上,風(fēng)險(xiǎn)管理自然地將IT安全視野擴(kuò)展到了技術(shù)以外的地方�����,從長期來看����,這將提高企業(yè)的抵御成功率����。
“單靠安全技術(shù)是不夠的,”FireMon首席技術(shù)官兼總裁Jody Brazil表示�,“如果技術(shù)沒有進(jìn)行有效地配置,它將無法提供預(yù)期的安全性�����。風(fēng)險(xiǎn)管理能夠?qū)夹g(shù)的有效性進(jìn)行評估,同時(shí)能夠?qū)芾碓摷夹g(shù)的人員和流程進(jìn)行評估�。”
安全漏洞往往是因?yàn)樵愀獾牧鞒毯驮愀獾臎Q策造成的,而不是糟糕的技術(shù)���。
“太多公司認(rèn)為安全只是他們部署的一些硬件��,而沒有意識到他們并不清楚自己的薄弱環(huán)節(jié)是什么�,以及他們沒有適當(dāng)?shù)牧鞒毯统绦騺泶_保他們花在技術(shù)上的錢沒有白花�,”Stella表示。
將IT安全加入業(yè)務(wù)的大藍(lán)圖中
也許最重要的一點(diǎn)事����,風(fēng)險(xiǎn)管理能夠幫助將IT安全加入到業(yè)務(wù)的大藍(lán)圖中,讓企業(yè)了解IT安全對業(yè)務(wù)的影響力����,以及能夠確保業(yè)務(wù)不斷創(chuàng)新和發(fā)展的能力。
“太多公司將安全視為只屬于IT部門的東西����,而風(fēng)險(xiǎn)評估和管理是業(yè)務(wù)流程,屬于所有業(yè)務(wù)部門����,”Stella表示�,“適當(dāng)?shù)娘L(fēng)險(xiǎn)管理�,意味著IT只是項(xiàng)目經(jīng)理,而每個(gè)業(yè)務(wù)部門都需要貢獻(xiàn)自己的業(yè)務(wù)知識�����,這需要從高層開始��,從C級管理人員開始�。”他表示,但這也可能是為什么很多企業(yè)沒有開始進(jìn)行IT風(fēng)險(xiǎn)管理的原因�����。
“C級管理人員太忙了�����,而業(yè)務(wù)部門不理解他們參與的重要性���,IT總是忙于保護(hù)企業(yè),”他表示���,“IT部門做了什么呢?他們購買技術(shù)�,然后宣布完成。但是真正的問題并沒有解決��,因?yàn)闆]有人進(jìn)行了徹底的風(fēng)險(xiǎn)評估���,導(dǎo)致最后沒有什么可管理��。”
