“我認為傳統(tǒng)IT安全有點像希臘神話里的西西弗斯�,”中東某金融服務公司信息系統(tǒng)和安全經(jīng)理J. Wolfgang Goerlich表示�,“每天,我們將巨石滾上山����,我們盡可能地確保很多系統(tǒng)(或者說巨石)在山頂?shù)陌踩�。一夜之間,新攻擊出現(xiàn)了���,新漏洞發(fā)布了�����,第二天�����,一些系統(tǒng)又變得不安全了����,我們不得不重新開始將巨石滾上山���。”
Goerlich認為�,如果安全企業(yè)想要改變這種局面,他們必須在他們的決策框架中嵌入風險管理的原則���。以下是安全專家總結的IT安全需要風險管理的四個原因:
幫助優(yōu)先關鍵系統(tǒng)
Goerlich表示�����,由于企業(yè)信息安全專業(yè)人員太少�,而需要管理的系統(tǒng)又太多�,傳統(tǒng)的方法使他們很難決定應該優(yōu)先哪些系統(tǒng)。
“此外����,滾巨石上山并不是安全的目標,其目標是確保企業(yè)能完成其使命�����,”他表示�����,“風險管理是一項重要的技術��,它側重于確保企業(yè)完成其目標,以及優(yōu)先考慮關鍵系統(tǒng)��。”
Entrust首席技術官Jon Callas表示���,風險分析以及基于這種分析的管理能夠幫助企業(yè)“少花錢多辦事”�。
他表示:“通過分析威脅類型���,以及衡量任何類型安全故障的后果����,你能夠更好地了解你正在做的工作以及為什么這么做的原因��。”
幫助將安全翻譯成業(yè)務語言
AlienVault公司研究工程師Conrad Constantine表示�����,風險管理能夠讓信息安全與整個企業(yè)相關聯(lián)���。
他表示:“沒有風險管理的安全消耗著企業(yè)的資源,并且沒有實際作用�。”
風險管理的方法并不是安排信息安全人員去抵御最可怕的威脅,而是采用了純經(jīng)濟的方法����,讓IT回到實際問題中����,即保護企業(yè)在信息系統(tǒng)方面的投資�����。
“你會花2000美元來保護價值2000美元的東西嗎?這毫無意義����。如果沒有風險評估,你無法評估你的風險���,因而��,你也無法評估你應該花多少錢�,”Network Box USA公司首席技術官Pierluigi Stella表示���,“適當?shù)娘L險評估是很重要的�����,它能夠幫助你評估你應該花多少錢���。你正在保護什么?它值得你這樣做嗎?如果你丟失這個信息或者信息落入壞人手中����,你的公司會面臨怎樣的影響?對這些問題進行評估���,然后進行管理�。”
根據(jù)BT Global Services的Bryan Fite表示�,風險評估其實有點名不副實。
“它應該被稱為風險及獎勵管理�����,因為它關系著企業(yè)的業(yè)務決策���。為了讓業(yè)務部門了解這些問題,你必須用業(yè)務的語言來解釋�����,”BT Global Services的Bryan Fite表示��,“采用規(guī)范化和被接受的語言�,安全專業(yè)人士可以更有效地與那些控制預算和決策的人進行溝通�����。”
幫助評估技術
通過將談話焦點放在業(yè)務優(yōu)先事項上�����,風險管理自然地將IT安全視野擴展到了技術以外的地方��,從長期來看���,這將提高企業(yè)的抵御成功率。
“單靠安全技術是不夠的�����,”FireMon首席技術官兼總裁Jody Brazil表示��,“如果技術沒有進行有效地配置��,它將無法提供預期的安全性�����。風險管理能夠對技術的有效性進行評估,同時能夠對管理該技術的人員和流程進行評估��。”
安全漏洞往往是因為糟糕的流程和糟糕的決策造成的��,而不是糟糕的技術�。
“太多公司認為安全只是他們部署的一些硬件,而沒有意識到他們并不清楚自己的薄弱環(huán)節(jié)是什么�����,以及他們沒有適當?shù)牧鞒毯统绦騺泶_保他們花在技術上的錢沒有白花�����,”Stella表示����。
將IT安全加入業(yè)務的大藍圖中
也許最重要的一點事,風險管理能夠幫助將IT安全加入到業(yè)務的大藍圖中����,讓企業(yè)了解IT安全對業(yè)務的影響力�,以及能夠確保業(yè)務不斷創(chuàng)新和發(fā)展的能力。
“太多公司將安全視為只屬于IT部門的東西���,而風險評估和管理是業(yè)務流程����,屬于所有業(yè)務部門,”Stella表示���,“適當?shù)娘L險管理����,意味著IT只是項目經(jīng)理����,而每個業(yè)務部門都需要貢獻自己的業(yè)務知識,這需要從高層開始�,從C級管理人員開始。”他表示��,但這也可能是為什么很多企業(yè)沒有開始進行IT風險管理的原因�����。
“C級管理人員太忙了����,而業(yè)務部門不理解他們參與的重要性,IT總是忙于保護企業(yè),”他表示�����,“IT部門做了什么呢?他們購買技術�����,然后宣布完成�。但是真正的問題并沒有解決,因為沒有人進行了徹底的風險評估�,導致最后沒有什么可管理。”
