|
如果IT安全部門希望自己真正幫企業(yè)在如今瞬息萬(wàn)變的各類攻擊威脅下頑強(qiáng)生存����,那么研發(fā)戰(zhàn)略的科學(xué)性絕對(duì)是保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)的首要條件。安全專家提醒我們�,隨著破壞性活動(dòng)與惡意軟件感染率的持續(xù)走高,舊有安全機(jī)制已經(jīng)很難應(yīng)對(duì)新形勢(shì)下的新挑戰(zhàn)�����。
“傳統(tǒng)IT安全工作其實(shí)是以簡(jiǎn)單粗暴的方式重復(fù)同樣的流程�����,”來自財(cái)務(wù)服務(wù)企業(yè)信息系統(tǒng)及安全管理部門的J. Wolfgang Goerlich指出�����。“我們每天所做的工作都大體相似��,部署各類系統(tǒng)���、安全機(jī)制及工具�����,然后坐等這些成果在新的漏洞及攻擊威脅下土崩瓦解���。問題出現(xiàn)之后��,我們?cè)俅沃貜?fù)之前的過程��,希望重新打造的安全屏障能夠讓我們?cè)趷阂饣顒?dòng)下再茍延殘喘一段時(shí)間�。”
根據(jù)Goerlich與他多位同事的意見����,如果安全部門打算讓過去日復(fù)一日壓力極大的工作變得更有價(jià)值、更能有效支持企業(yè)業(yè)務(wù)的順利進(jìn)行��,技術(shù)團(tuán)隊(duì)需要做的是將風(fēng)險(xiǎn)管理理念納入決策考量范疇���。接下來我就列出幾點(diǎn)主要理由�,向大家解釋為什么安全專家一致認(rèn)為風(fēng)險(xiǎn)管理具有如此突出的重要性。
風(fēng)險(xiǎn)管理幫助企業(yè)整理優(yōu)先次序
由于信息安全團(tuán)隊(duì)的人手永遠(yuǎn)緊張�����、而需要照顧的系統(tǒng)又太多,因此傳統(tǒng)安全維護(hù)方案令我們很難看清到底哪些工作應(yīng)該優(yōu)先完成����,Goerlich表示。
“除此之外��,部署��、維護(hù)之類的工作并不是安全管理的最終目標(biāo)���,大家首先要認(rèn)清一點(diǎn)——我們的職責(zé)是保證企業(yè)能夠不受攻擊活動(dòng)的影響�,進(jìn)而順利完成既定業(yè)務(wù)����,”他解釋道。“風(fēng)險(xiǎn)管理正是對(duì)癥的一味好藥����,它將團(tuán)隊(duì)的注意力集中在幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)計(jì)劃、并依優(yōu)先次序保護(hù)關(guān)鍵性系統(tǒng)的工作上�����。”
Entrust公司CTO Jon Callas也認(rèn)為�����,在統(tǒng)籌基礎(chǔ)上合理進(jìn)行風(fēng)險(xiǎn)分析及管理完全可以讓安全工作變得事半功倍。
“通過分析���,我們能夠明確自己當(dāng)前正面臨哪些威脅�����、這些威脅需要分配哪些資源加以消除��。另外��,一旦出現(xiàn)嚴(yán)重安全問題����,我們可以迅速后果的嚴(yán)重性���,并更好地理解下一步該做什么����、為什么要這么做�����,”他總結(jié)道���。
將安全問題翻譯成商務(wù)語(yǔ)言
根據(jù)ALienVault公司研究工程師Conrad Constantine的說法�,風(fēng)險(xiǎn)管理能夠維系信息安全�����,而信息安全則保障了企業(yè)整體�����。
“缺乏風(fēng)險(xiǎn)管理機(jī)制支持的安全工作對(duì)于企業(yè)而言只是一種開銷巨大的紙上談兵行為����,”他認(rèn)為。
與其讓信息安全團(tuán)隊(duì)焦頭爛額地應(yīng)付各種來自暗處的攻擊威脅����,倒不如采取風(fēng)險(xiǎn)管理機(jī)制所擅長(zhǎng)的辦法——以純粹的資金標(biāo)準(zhǔn)將保護(hù)工作進(jìn)行量化,并幫助IT部門把職責(zé)回歸本源�,即確保企業(yè)在信息系統(tǒng)領(lǐng)域的成本投入得到保障。
“大家會(huì)花2000美元來保護(hù)那些只值2000美元的財(cái)物嗎����?這顯然是筆賠本的買賣��,對(duì)吧�����?實(shí)際上如果沒有風(fēng)險(xiǎn)評(píng)估機(jī)制��,我們根本搞不清自己要保護(hù)的東西有多大價(jià)值��,更談不上計(jì)算該在安全機(jī)制上投入多少現(xiàn)金了��,”Network Box美國(guó)公司CTO Pierluigi Stella告訴我們�����。“合理的風(fēng)險(xiǎn)管理機(jī)制非常重要�,它能幫我們理解該在安全方面投多少錢�。我們到底在保護(hù)什么?保護(hù)對(duì)象的價(jià)值到底有多大��?如果丟失了這些信息或者被壞人鉆了空子����,我們將面臨多少損失?將一切問題歸于量化,然后再著手管理����。”
而在英國(guó)電信全球服務(wù)部的Bryan Fite看來����,風(fēng)險(xiǎn)管理這個(gè)詞本身的描述并不準(zhǔn)確。
“我認(rèn)為稱其為風(fēng)險(xiǎn)&回報(bào)管理更貼切�,因?yàn)樗暮诵脑谟谥笇?dǎo)企業(yè)制定決策。身為一名技術(shù)人員�,我們?cè)陉愂鱿媳仨氂脟?yán)謹(jǐn)準(zhǔn)確又易于理解的方式幫助企業(yè)了解哪些資源代表著實(shí)實(shí)在在的利益,”Fite表示�。他目前在英國(guó)電信全球服務(wù)部駐美國(guó)&加拿大分部擔(dān)任投資組合經(jīng)理。“通過標(biāo)準(zhǔn)化且簡(jiǎn)潔通俗的語(yǔ)言�����,安全專家能夠更高效地與預(yù)算及政策制定者們進(jìn)行溝通�,進(jìn)而將自己的意見準(zhǔn)確傳達(dá)給對(duì)方。”
別把安全希望完全寄托于技術(shù)
既然在業(yè)務(wù)與技術(shù)部門之間的對(duì)話中我們選擇傾向于前者����,那么風(fēng)險(xiǎn)管理所涵蓋的范疇自然也會(huì)超出IT安全團(tuán)隊(duì)所熟知的技術(shù)領(lǐng)域。而這種重心的轉(zhuǎn)移對(duì)改善企業(yè)抵御惡意攻擊而言意義重大����。
“把安全的希望完全寄托于技術(shù)還遠(yuǎn)遠(yuǎn)不夠����,”FireMon公司總裁兼CTO Jody Brazil指出�����。“如果技術(shù)沒有經(jīng)過高效配置�,我們根本不可能得到預(yù)期中的保護(hù)效果。風(fēng)險(xiǎn)管理會(huì)對(duì)技術(shù)的執(zhí)行效率加以評(píng)估�,同時(shí)考量操作人員與處理流程到底能否發(fā)揮技術(shù)中所蘊(yùn)含的最大價(jià)值。”
在這方面����,Kevin Mitnick的觀點(diǎn)更有說服力,也有很多讀者結(jié)合自身經(jīng)歷驗(yàn)證了其準(zhǔn)確性����。Mitnick的核心觀點(diǎn)在于,糟糕的執(zhí)行流程與錯(cuò)誤的行政決策往往比技術(shù)方面的疏漏更容易引發(fā)安全問題����。
“許多企業(yè)把安全事務(wù)當(dāng)成兒戲,認(rèn)為部署幾套硬件就能解決問題�����。他們沒有意識(shí)到,在未能準(zhǔn)確把握薄弱環(huán)節(jié)所在��、不知道如何正確執(zhí)行決策并且沒有對(duì)投入資金進(jìn)行量化評(píng)估的情況下���,再成熟的技術(shù)也無法阻止麻煩的出現(xiàn),”Stella解釋稱���。“如果員工缺乏安全意識(shí)����,隨意把社���?ǖ膹(fù)印件扔進(jìn)垃圾桶���,那么配備再好的碎紙機(jī)又有什么用呢?技術(shù)只有被正確使用才能真正帶來收益�����。”
將IT安全納入企業(yè)的發(fā)展藍(lán)圖
更重要的是�,風(fēng)險(xiǎn)管理能夠切實(shí)將IT安全納入企業(yè)的發(fā)展藍(lán)圖���,把概念層面的指導(dǎo)與企業(yè)持續(xù)穩(wěn)定的發(fā)展融合為一個(gè)整體。只有這樣��,創(chuàng)新與繁榮才能獲得有力保障�����,技術(shù)支持團(tuán)隊(duì)才會(huì)擁有正確的努力方向�����。
“許多企業(yè)把安全看作只需要IT部門操心的事情����,但現(xiàn)實(shí)恰恰相反,風(fēng)險(xiǎn)評(píng)估與管理應(yīng)該是業(yè)務(wù)流程的一部分�����,需要所有業(yè)務(wù)部門共同配合�,”Stella告訴我們。“合理的風(fēng)險(xiǎn)管理機(jī)制需要多方協(xié)作�����,IT部門只是項(xiàng)目的管理者,而各個(gè)業(yè)務(wù)部門則是分布執(zhí)行者中的成員�,他們應(yīng)該將自己的知識(shí)儲(chǔ)備納入執(zhí)行流程;要做到這一點(diǎn)�,企業(yè)高管們首先要端正立場(chǎng),以嚴(yán)謹(jǐn)?shù)男膽B(tài)自上而下加以貫徹�����。”
不過也正是由于實(shí)際執(zhí)行太過繁復(fù)��,因此大部分企業(yè)的領(lǐng)導(dǎo)者都會(huì)下意識(shí)地抗拒IT風(fēng)險(xiǎn)管理機(jī)制�,他表示�。
“企業(yè)高管每天都有一大堆事情要忙,業(yè)務(wù)部門也不理解自己的加入會(huì)帶來怎樣深遠(yuǎn)的安全影響����;而IT部門就這樣被孤立出來,以一己之力替整個(gè)企業(yè)完成對(duì)抗攻擊威脅的艱巨任務(wù)�,”他指出。“因此面對(duì)有限的人力與物力�����,IT部門只能選擇購(gòu)買某項(xiàng)技術(shù)并宣稱已經(jīng)部署完成���。但實(shí)際上問題并沒能得到徹底解決�����,因?yàn)楦緵]人踏踏實(shí)實(shí)做過風(fēng)險(xiǎn)評(píng)估��,最終技術(shù)人員會(huì)發(fā)現(xiàn)自己根本沒什么可管的�����。他們只能靜靜等待問題出現(xiàn)�,然后再想辦法降低損失、亡羊補(bǔ)牢����。”
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
