擴展型企業(yè)面臨愈加嚴峻的安全形勢

信息安全首先是個管理問題

因特網大大改變了企業(yè)開展工作的方式，以至于主管人員、管理理論家和決策者們都在努力探究種種機遇和后果：機遇（如外包）大大降低了成本、帶來諸多新的商業(yè)模式；后果（如竭力保護信息的隱私性和安全性）則讓公司蒙受重大經濟損失，帶來十年前想象不到的風險。

對惠普這樣的公司來說，近幾年變化著實驚人。僅僅幾年前，惠普還把產品設計師、營銷人員和制造人員安排在同一辦公園區(qū)內。研發(fā)人員把工作臺上的產品從樓梯上搬到裝配線上，制作原型、進行試驗；營銷人員在午飯時間與設計工程師一起打排球，交流客戶需求或者競爭威脅方面的想法。如今，這些人有許多在擴展型企業(yè)（Extended Enterprise）工作。這種企業(yè)由分布在全世界的公司組成，通過網絡進行聯(lián)系。

當然，不只是惠普才會有上述變化，因特網已經使各種類型或規(guī)模的公司可以把工作轉移到最有效率的地方。譬如，沃爾瑪已把許多傳統(tǒng)的零售職能轉移給供應商，如今要求所有供應商一律采用電子通信手段，以協(xié)調例行采購和供應鏈規(guī)劃。同樣，通用汽車（GM）等汽車生產商把產品設計職能重新交給了供應商，如今通過網絡與全世界的供應商交換詳細的產品設計信息。這種日益依賴信息可用性的現(xiàn)實，加上日益擔心網絡安全，已促使許多跨國公司往安全的企業(yè)計算平臺上投入巨資。

如今，由于幾乎各大公司紛紛采用外包、低成本采購，它們面臨本公司內部以及供應商之間的風險。這些風險包括供應中斷和延遲、知識產權失竊、客戶失望等。為了加快企業(yè)各個方面的流程，公司把從制造、分銷、會計到人力資源的諸多應用系統(tǒng)連接起來，這樣一來，它們往往會在無意中暴露出來新的安全漏洞。譬如說，許多比較老的制造控制應用系統(tǒng)都是為了獨立運行而開發(fā)的，很少考慮到安全，集成導致這些系統(tǒng)暴露在其他業(yè)務系統(tǒng)面前，往往會出現(xiàn)許多安全漏洞。同樣，如果兩家公司為了加快信息流動而把各自的網絡連起來，這也會導致新的漏洞。

單單跟蹤及管理全球范圍的工作流就頗具挑戰(zhàn)性。一旦外包出去，工作及相關信息會迅速流向供應商的供應商。從顧客開始，再到最小的供應商，一家擴展型企業(yè)在此過程中有可能牽涉上千家公司。要控制擴展型企業(yè)的敏感信息，難度就變得更大。雷神公司對此深有體會：去年夏天，雷神公司與IBM簽訂了一份外包協(xié)議，由IBM為其管理它所實施的SAP項目。IBM表明打算雇用印度的分包商以壓低成本后，雷神的主管人員馬上意識到自己遇到了問題。遵守美國的法規(guī)、確保敏感的飛機設計數(shù)據(jù)不會遭到破壞，并非易事。由于從工資單管理到給病人開賬單的各項工作外包出去，有關隱私和數(shù)據(jù)安全的問題隨之迅速出現(xiàn)。

單靠IT技術解決不了問題

那些指望技術可以解決安全問題的人會大所失望。連銷售技術解決方案的公司也樂于承認：光靠技術提供不了安全。最近在塔克商學院數(shù)字戰(zhàn)略中心和思科公司聯(lián)合舉辦的一次峰會上，來自各行各業(yè)的CIO們探討了安全管理方面的成果與難題。他們非常同意這種看法：信息安全首先是個管理問題。安全管理成功的關鍵是企業(yè)文化、安全教育及行之有效的風險評估。

許多人忍不住會想：IT安全是信息技術小組的職責，但事實絕非如此。質量管理革命盛行期間，質量迅速得到提高的是那些認識到單單質量控制部門無法確保質量的公司，質量控制必須成為組織文化的一部分。與質量一樣，安全也是每個人的職責。業(yè)務經理不能消極以待，坐等信息安全警察給予保護。信息主管必須闡明風險，而主管人員必須共同權衡這些風險。思科公司的CIO Brad Boston描述了他們是如何從單單對業(yè)務經理的要求做出肯定或否定答復，變成幫助他們做出明智決策的：“我們的工作就是，確認風險以及該風險實際發(fā)生的威脅，然后告知應當采取哪些補救方案。隨后，業(yè)務經理對哪些風險可以接受、哪些風險無法接受做出決策。組織上下的每一層都有這種責任，包括董事會?！币晃籆IO抱怨說，他向董事會介紹新款應用軟件時，大家兩眼放光，可是當他談到安全問題時，大家卻變得兩眼呆滯。要確保信息技術管理行之有效、建造注重安全的企業(yè)文化，關鍵是讓了解風險的董事會成員幫助其他成員認識到這些風險。

整個組織上下開展安全教育跟建造安全文化一樣重要。安全需要整個組織關注細節(jié)。不過，安全教育要有針對性，還要與每個人的職責有關。僅僅散布恐慌心理對提高安全無濟于事。而太多的安全經理喊著“天塌下來了”，只是為了引起人們的注意。這種做法一開始能得到一些人的注意，但長此以往沒啥效果。對CIO們來說，要贏得并維持其他高層管理人員的信任，就需要從業(yè)務角度闡明風險和機遇--而不僅僅是危言聳聽。

嘉吉公司的全球信息保護經理Scott Day介紹了這家農業(yè)聯(lián)合大企業(yè)是如何劃分其培訓工作的。“我們確認了各種角色以及擔當這些角色的業(yè)務部門領導。業(yè)務經理要知道什么？他不需要從技術上來了解TCP/IP，但要知道這對其決策權有何影響？我們開展這項工作，是因為我們認為，這么做有助于把安全教育融入到企業(yè)文化當中。如果每個人都知道職責所在、該怎樣去負責，他們就會去獲取需要的東西，確保自己不落伍。”
　　
最后，擴展型企業(yè)要獲得安全，需要認真細致地審查供應商和客戶，不斷評估它們所帶來的安全風險。譬如，讓顧客意識到種種風險，促使他們采用更有效的安全策略。對許多金融公司來說，迫使客戶采用最新版本的網絡瀏覽器這樣的做法既保護了客戶，又保護了公司自己。有時，保護擴展型企業(yè)意味著不要與那些風險超過商業(yè)利益的公司合作。誠信管理研究公司的CIO Jim MacDonald介紹了信息安全問題如何影響到他公司在合作方面的做法?！皩ξ覀儊碚f，與那些擁有優(yōu)良創(chuàng)新系統(tǒng)的小型技術公司合作是個問題。原因在于，我們往往喜歡那些公司，因為它們能幫助我們獲得競爭優(yōu)勢?？墒且坏┪覀冞^去進行安全評估，就會發(fā)現(xiàn)，安全通常不是這些公司關注的方面。對于是否與這類公司進行合作，我們較為慎重，之所以不太滿意，是因為覺得雖然技術不錯，但它們對安全根本不夠重視?！?/P>

根據(jù)IT安全風險確定供應商合不合格與評估其財務風險或質量一樣重要。正如通用汽車的供應鏈主管Mark Hillman所言：“如果你有許多外包項目，就要刺探每個人?！边@里的“刺探”是指評估外包風險，然后像對待供應商可能帶來的其他風險那樣對其加以監(jiān)控。這意味著確保供應商對你內部系統(tǒng)的訪問不會危及你的網絡，或者確保它們自身的安全足以保護彼此共享的知識產權。在擴展型企業(yè)大行其道的這個新世界，絕不能對安全掉以輕心。