進入2007年之後,許多人在談論是購買股票呢?還是購買房產。然而,許多企業卻開始注意自己的信息安全風險。制定安全風險管理流程將是許多企業在2007年採取的最重要舉措。原因何在?如果不實施正確的安全風險流程,企業的所有的業務活動均可能會受到惡意威脅、配置錯誤以及大量漏洞的影響。對於法規遵從要求而言,也面臨同樣的風險,這就要求企業必須對管理重要的企業及客戶數據的訪問和使用流程保持強有力的控制。
安全風險管理可以爲企業提供必要的流程來提高安全性和法規遵從性。安全風險管理的實施離不開CIO、IT 操作人員、網絡安全人員及業務主管人員的通力協作。若要有效實施安全風險管理,需認識到企業無法以同樣的方式和同樣的緊急程度來響應每一個潛在的威脅或漏洞***。利益相關者必須確定哪些是最重要的資產,然後確定它們的優先級。有些系統和應用程序更容易暴露在風險之中,而IT部門無法獨自確定企業可承受的風險等級。因此,IT 和業務管理人員需要通力合作來幫助企業確定資產優先級和最大限度地降低風險。
曾幾何時,讓業務主管人員坐下來制定安全風險管理計劃是一件很難的事情。他們將 IT 部門看作一個負責安裝和維護計算機的成本中心,卻沒有意識到IT部門在保護那些對他們開展業務(從進行銷售到控制預算)至關重要的數據時所發揮的作用。然而,這一切在近年來已經發生了變化。業務管理人員現在越來越關注那些針對其機密信息和公司系統的無休止的威脅。他們也進一步意識到了違反法規的嚴重後果 - 負面宣傳、受到處罰和損害股東的利益。
正如IT部門需要業務管理人員的支持一樣,業務管理人員也想聽取IT部門的意見,以瞭解如何纔能有效地部署既能定義又能執行這些策略的工具。他們希望IT部門能帶頭實施確保企業安全合法的流程。這些轉變令IT人員異常興奮,因爲他們現已被視爲實現企業目標的重要一份子。然而,支持成功實施 安全風險管理 所必需的文化轉變則是一個巨大的飛躍。它不僅需要 IT 部門和業務管理人員的合作來確定資產優先級,還需要加強 IT 操作人員與安全工作人員之間的交流。此外,它還需要改善通常獨立工作並使用完全不同安全產品的團隊之間的技術整合。
如果能夠應對這些挑戰,企業就能夠獲得巨大收益。包括管理層在內的每一個人都能更清晰地瞭解企業所面臨的風險狀況以及法規遵從情況。藉助清晰定義的安全風險管理方法(包括安全防護和法規遵從指標),企業可以前瞻性地採取措施應對風險,而不是被動挨打。企業完全沒有必要專門配置人員來匆忙應對每個新的威脅或漏洞。通過採用 安全風險管理 方法,企業不僅能夠確保其關鍵系統不會癱瘓,還能夠確保其企業及客戶數據始終得到保護。
安全風險管理使企業能夠將其資源集中到戰略規劃上,並在市場中獲得競爭優勢。當然,企業必須不斷監控和衡量爲應對風險而制定的 安全風險管理 流程。意識到 安全風險管理 的重要性的企業同樣會意識到,能夠報告流程、衡量這些流程的有效性以及明確哪些方面得到了改善也十分重要。同樣,企業還會意識到一個旨在滿足安全及法規遵從要求的綜合解決方案可以幫助它們改善資源管理、降低成本和節省時間。
很少有廠商能夠提供全面的安全風險管理方法。邁克菲(McAfee)在通過一個流程來幫助企業管理其安全及法規遵從性方面一直處於領先地位。McAfee提供了一套協同工作的工具,以幫助企業制定資產保護策略並根據漏洞及威脅評估實際的風險等級。此外,McAfee還可以幫助企業獲得適當級別的保護,避免預算超支。
這種方法的先進之處在於安全風險管理方法,該方法能夠保護您的企業免受會對重要 IT 系統和操作過程造成重大破壞的最嚴重威脅的侵擾。安全風險管理可以幫助您的組織理解其資產並分析必須彌補的漏洞。安全風險管理還爲內、外部法規遵從性計劃提供了便利。它能使您的組織實施與客戶數據集成、企業應用程序和數據庫配置以及財務報告準確性相關的策略。
從管理安全性過渡到管理風險需要IT組織摒棄其固有觀念,改變以往使用點解決方案對每一種新威脅進行響應的做法。McAfee 認爲"安全風險管理是一個過程而非一個產品。"安全風險管理同樣涉及管理和評估。它消除了分隔安全性計劃和法規遵從性計劃的壁壘,並認識到合作的過程可以確保組織安全和遵循法規。
在其新的角色中,IT被賦予了制定符合企業自身邏輯(即,將風險最小化、將業務優勢最大化)的決策的權力。一位電子商務供應商可能會將客戶數據庫置於其"必須保護的資產"清單的頂端,因爲違反這類數據將動搖客戶的信心。而另一家公司可能將該優先權給予其訂單處理系統,這種做法是出於這樣的考慮:如果公司遭受漏洞***,其客戶將轉向其他商家 ,甚至可能就此一去不復返。
考慮到大型企業的巨大花費,特別是,解釋和創建法規遵從性政策時的不菲費用,讓企業能夠根據基準來檢查性能就越發重要了。在一些小型的、私有的企業中,與其規模相比,法規遵從性需求可能是一種不小的負擔。這是一個充斥着風險,但有人管理的世界。如同有選擇熱門股的訣竅的投資者一樣,通過實現效率與效益的平衡來保護其業務優勢,現在能夠承受 安全風險管理 挑戰的IT操作和安全專業人士將得到巨大收穫。