IT安全必須引入風(fēng)險(xiǎn)管理的四大理由

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

如果上網(wǎng)行為安全部門希望自己真正幫企業(yè)在如今瞬息萬(wàn)變的各類攻擊威脅下頑強(qiáng)生存，那么研發(fā)戰(zhàn)略的科學(xué)性絕對(duì)是保障業(yè)務(wù)正常運(yùn)轉(zhuǎn)的首要條件。安全專家提醒我們，隨著破壞性活動(dòng)與惡意軟件感染率的持續(xù)走高，舊有安全機(jī)制已經(jīng)很難應(yīng)對(duì)新形勢(shì)下的新挑戰(zhàn)。

“傳統(tǒng)上網(wǎng)行為安全工作其實(shí)是以簡(jiǎn)單粗暴的方式重復(fù)同樣的流程，”來(lái)自財(cái)務(wù)服務(wù)企業(yè)信息系統(tǒng)及安全管理部門的J. Wolfgang Goerlich指出。“我們每天所做的工作都大體相似，部署各類系統(tǒng)、安全機(jī)制及工具，然后坐等這些成果在新的漏洞及攻擊威脅下土崩瓦解。問(wèn)題出現(xiàn)之后，我們?cè)俅沃貜?fù)之前的過(guò)程，希望重新打造的安全屏障能夠讓我們?cè)趷阂饣顒?dòng)下再茍延殘喘一段時(shí)間。”

根據(jù)Goerlich與他多位同事的意見(jiàn)，如果安全部門打算讓過(guò)去日復(fù)一日壓力極大的工作變得更有價(jià)值、更能有效支持企業(yè)業(yè)務(wù)的順利進(jìn)行，技術(shù)團(tuán)隊(duì)需要做的是將風(fēng)險(xiǎn)管理理念納入決策考量范疇。接下來(lái)我就列出幾點(diǎn)主要理由，向大家解釋為什么安全專家一致認(rèn)為風(fēng)險(xiǎn)管理具有如此突出的重要性。

風(fēng)險(xiǎn)管理幫助企業(yè)整理優(yōu)先次序

由于信息安全團(tuán)隊(duì)的人手永遠(yuǎn)緊張、而需要照顧的系統(tǒng)又太多，因此傳統(tǒng)安全維護(hù)方案令我們很難看清到底哪些工作應(yīng)該優(yōu)先完成，Goerlich表示。

“除此之外，部署、維護(hù)之類的工作并不是安全管理的最終目標(biāo)，大家首先要認(rèn)清一點(diǎn)——我們的職責(zé)是保證企業(yè)能夠不受攻擊活動(dòng)的影響，進(jìn)而順利完成既定業(yè)務(wù)，”他解釋道。“風(fēng)險(xiǎn)管理正是對(duì)癥的一味好藥，它將團(tuán)隊(duì)的注意力集中在幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)計(jì)劃、并依優(yōu)先次序保護(hù)關(guān)鍵性系統(tǒng)的工作上。”

Entrust公司CTO Jon Callas也認(rèn)為，在統(tǒng)籌基礎(chǔ)上合理進(jìn)行風(fēng)險(xiǎn)分析及管理完全可以讓安全工作變得事半功倍。

“通過(guò)分析，我們能夠明確自己當(dāng)前正面臨哪些威脅、這些威脅需要分配哪些資源加以消除。另外，一旦出現(xiàn)嚴(yán)重安全問(wèn)題，我們可以迅速后果的嚴(yán)重性，并更好地理解下一步該做什么、為什么要這么做，”他總結(jié)道。

將安全問(wèn)題翻譯成商務(wù)語(yǔ)言

根據(jù)ALienVault公司研究工程師Conrad Constantine的說(shuō)法，風(fēng)險(xiǎn)管理能夠維系信息安全，而信息安全則保障了企業(yè)整體。

“缺乏風(fēng)險(xiǎn)管理機(jī)制支持的安全工作對(duì)于企業(yè)而言只是一種開(kāi)銷巨大的紙上談兵行為，”他認(rèn)為。

與其讓信息安全團(tuán)隊(duì)焦頭爛額地應(yīng)付各種來(lái)自暗處的攻擊威脅，倒不如采取風(fēng)險(xiǎn)管理機(jī)制所擅長(zhǎng)的辦法——以純粹的資金標(biāo)準(zhǔn)將保護(hù)工作進(jìn)行量化，并幫助上網(wǎng)行為部門把職責(zé)回歸本源，即確保企業(yè)在信息系統(tǒng)領(lǐng)域的成本投入得到保障。

“大家會(huì)花2000美元來(lái)保護(hù)那些只值2000美元的財(cái)物嗎？這顯然是筆賠本的買賣，對(duì)吧？實(shí)際上如果沒(méi)有風(fēng)險(xiǎn)評(píng)估機(jī)制，我們根本搞不清自己要保護(hù)的東西有多大價(jià)值，更談不上計(jì)算該在安全機(jī)制上投入多少現(xiàn)金了，”Network Box美國(guó)公司CTO Pierluigi Stella告訴我們。“合理的風(fēng)險(xiǎn)管理機(jī)制非常重要，它能幫我們理解該在安全方面投多少錢。我們到底在保護(hù)什么？保護(hù)對(duì)象的價(jià)值到底有多大？如果丟失了這些信息或者被壞人鉆了空子，我們將面臨多少損失？將一切問(wèn)題歸于量化，然后再著手管理。”

而在英國(guó)電信全球服務(wù)部的Bryan Fite看來(lái)，風(fēng)險(xiǎn)管理這個(gè)詞本身的描述并不準(zhǔn)確。

“我認(rèn)為稱其為風(fēng)險(xiǎn)&回報(bào)管理更貼切，因?yàn)樗暮诵脑谟谥笇?dǎo)企業(yè)制定決策。身為一名技術(shù)人員，我們?cè)陉愂鱿媳仨氂脟?yán)謹(jǐn)準(zhǔn)確又易于理解的方式幫助企業(yè)了解哪些資源代表著實(shí)實(shí)在在的利益，”Fite表示。他目前在英國(guó)電信全球服務(wù)部駐美國(guó)&加拿大分部擔(dān)任投資組合經(jīng)理。“通過(guò)標(biāo)準(zhǔn)化且簡(jiǎn)潔通俗的語(yǔ)言，安全專家能夠更高效地與預(yù)算及政策制定者們進(jìn)行溝通，進(jìn)而將自己的意見(jiàn)準(zhǔn)確傳達(dá)給對(duì)方。”

別把安全希望完全寄托于技術(shù)

既然在業(yè)務(wù)與技術(shù)部門之間的對(duì)話中我們選擇傾向于前者，那么風(fēng)險(xiǎn)管理所涵蓋的范疇自然也會(huì)超出上網(wǎng)行為安全團(tuán)隊(duì)所熟知的技術(shù)領(lǐng)域。而這種重心的轉(zhuǎn)移對(duì)改善企業(yè)抵御惡意攻擊而言意義重大。

“把安全的希望完全寄托于技術(shù)還遠(yuǎn)遠(yuǎn)不夠，”FireMon公司總裁兼CTO Jody Brazil指出。“如果技術(shù)沒(méi)有經(jīng)過(guò)高效配置，我們根本不可能得到預(yù)期中的保護(hù)效果。風(fēng)險(xiǎn)管理會(huì)對(duì)技術(shù)的執(zhí)行效率加以評(píng)估，同時(shí)考量操作人員與處理流程到底能否發(fā)揮技術(shù)中所蘊(yùn)含的最大價(jià)值。”

在這方面，Kevin Mitnick的觀點(diǎn)更有說(shuō)服力，也有很多讀者結(jié)合自身經(jīng)歷驗(yàn)證了其準(zhǔn)確性。Mitnick的核心觀點(diǎn)在于，糟糕的執(zhí)行流程與錯(cuò)誤的行政決策往往比技術(shù)方面的疏漏更容易引發(fā)安全問(wèn)題。

“許多企業(yè)把安全事務(wù)當(dāng)成兒戲，認(rèn)為部署幾套硬件就能解決問(wèn)題。他們沒(méi)有意識(shí)到，在未能準(zhǔn)確把握薄弱環(huán)節(jié)所在、不知道如何正確執(zhí)行決策并且沒(méi)有對(duì)投入資金進(jìn)行量化評(píng)估的情況下，再成熟的技術(shù)也無(wú)法阻止麻煩的出現(xiàn)，”Stella解釋稱。“如果員工缺乏安全意識(shí)，隨意把社?？ǖ膹?fù)印件扔進(jìn)垃圾桶，那么配備再好的碎紙機(jī)又有什么用呢？技術(shù)只有被正確使用才能真正帶來(lái)收益。”

將上網(wǎng)行為安全納入企業(yè)的發(fā)展藍(lán)圖

更重要的是，風(fēng)險(xiǎn)管理能夠切實(shí)將上網(wǎng)行為安全納入企業(yè)的發(fā)展藍(lán)圖，把概念層面的指導(dǎo)與企業(yè)持續(xù)穩(wěn)定的發(fā)展融合為一個(gè)整體。只有這樣，創(chuàng)新與繁榮才能獲得有力保障，技術(shù)支持團(tuán)隊(duì)才會(huì)擁有正確的努力方向。

“許多企業(yè)把安全看作只需要上網(wǎng)行為部門操心的事情，但現(xiàn)實(shí)恰恰相反，風(fēng)險(xiǎn)評(píng)估與管理應(yīng)該是業(yè)務(wù)流程的一部分，需要所有業(yè)務(wù)部門共同配合，”Stella告訴我們。“合理的風(fēng)險(xiǎn)管理機(jī)制需要多方協(xié)作，上網(wǎng)行為部門只是項(xiàng)目的管理者，而各個(gè)業(yè)務(wù)部門則是分布執(zhí)行者中的成員，他們應(yīng)該將自己的知識(shí)儲(chǔ)備納入執(zhí)行流程；要做到這一點(diǎn)，企業(yè)高管們首先要端正立場(chǎng)，以嚴(yán)謹(jǐn)?shù)男膽B(tài)自上而下加以貫徹。”

不過(guò)也正是由于實(shí)際執(zhí)行太過(guò)繁復(fù)，因此大部分企業(yè)的領(lǐng)導(dǎo)者都會(huì)下意識(shí)地抗拒上網(wǎng)行為風(fēng)險(xiǎn)管理機(jī)制，他表示。

“企業(yè)高管每天都有一大堆事情要忙，業(yè)務(wù)部門也不理解自己的加入會(huì)帶來(lái)怎樣深遠(yuǎn)的安全影響；而上網(wǎng)行為部門就這樣被孤立出來(lái)，以一己之力替整個(gè)企業(yè)完成對(duì)抗攻擊威脅的艱巨任務(wù)，”他指出。“因此面對(duì)有限的人力與物力，上網(wǎng)行為部門只能選擇購(gòu)買某項(xiàng)技術(shù)并宣稱已經(jīng)部署完成。但實(shí)際上問(wèn)題并沒(méi)能得到徹底解決，因?yàn)楦緵](méi)人踏踏實(shí)實(shí)做過(guò)風(fēng)險(xiǎn)評(píng)估，最終技術(shù)人員會(huì)發(fā)現(xiàn)自己根本沒(méi)什么可管的。他們只能靜靜等待問(wèn)題出現(xiàn)，然后再想辦法降低損失、亡羊補(bǔ)牢。”

 【推薦閱讀】

◆上網(wǎng)行為運(yùn)維管理專區(qū)

◆怎樣才算是一個(gè)合格的上網(wǎng)行為運(yùn)維工程師

◆上網(wǎng)行為運(yùn)維工作師需要什么樣的技能及素質(zhì)

◆網(wǎng)站上網(wǎng)行為運(yùn)維管理經(jīng)驗(yàn)探討和心得分享

◆網(wǎng)管軟件專區(qū)