[導(dǎo)讀]制定規(guī)則和處理風(fēng)險(xiǎn)已經(jīng)成為現(xiàn)代意義上的首席信息官不可推卸的責(zé)任���,他們必須保證企業(yè)能夠正常發(fā)展,而不受到暴露的薄弱環(huán)節(jié)或潛在的法律責(zé)任的影響���。丹尼·布拉德伯里將為你詮釋他們的兩難處境�。
IT和規(guī)則:孤獨(dú)的風(fēng)險(xiǎn)管理
制定規(guī)則和處理風(fēng)險(xiǎn)已經(jīng)成為現(xiàn)代意義上的首席信息官不可推卸的責(zé)任�����,他們必須保證企業(yè)能夠正常發(fā)展���,而不受到暴露的薄弱環(huán)節(jié)或潛在的法律責(zé)任的影響����。丹尼·布拉德伯里將為你詮釋他們的兩難處境�。
對(duì)于IT經(jīng)理們來說,制定規(guī)則可以說是一項(xiàng)艱巨的工作��,畢竟最終面臨的經(jīng)營(yíng)風(fēng)險(xiǎn)是非常廣闊的���。因此��,對(duì)于IT領(lǐng)導(dǎo)者來說��,如何在空泛的法律基礎(chǔ)上滿足董事會(huì)的要求呢?
這就要感謝含糊的規(guī)則了���。
貝寶的首席信息安全官邁克爾·貝瑞特宣稱����,為數(shù)不多的相關(guān)法規(guī)在安全領(lǐng)域并不是普遍適用的����。
舉例來說,支付卡行業(yè)強(qiáng)制執(zhí)行的支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)可以為信用卡付款操作設(shè)定類似使用和配置個(gè)人防火墻之類的指定操作����。但貝瑞特并不喜歡個(gè)人防火墻這種選擇,因?yàn)闆]有培訓(xùn)過的用戶���,在收到“應(yīng)用程序nettaxi.exe正試圖訪問142號(hào)外部端口 ”之類信息的時(shí)間��,經(jīng)常作出錯(cuò)誤的決定���?��! 昂芏喙靖静粫?huì)選擇使用它們,”貝瑞特說����。“這樣的話�,你將面臨大量敲詐的威脅?�!?/P>
為了解決這些問題���,貝寶加入了PCI advisory council的董事會(huì)。
埃森哲英國(guó)的安全主管斯圖爾特·歐肯認(rèn)為���,即使有了更多的規(guī)則����,但如果不進(jìn)行協(xié)調(diào)的話�����,也會(huì)造成很多的問題。當(dāng)分布在不同地區(qū)的時(shí)間�����,它們之間可能產(chǎn)生矛盾��。歐肯說�����,為了消除差異��,“必須決定什么是需要保護(hù)的最重要的部分�����,再確定如何去進(jìn)行保護(hù)�����?��!?/P>
在購(gòu)買解決方案加強(qiáng)基礎(chǔ)設(shè)施之前�����,在公司戰(zhàn)略和執(zhí)行層面上必須對(duì)相關(guān)的情況進(jìn)行確認(rèn)����。
IT服務(wù)公司Getronics的首席風(fēng)險(xiǎn)策略官,信息系統(tǒng)審計(jì)與控制協(xié)會(huì)教育統(tǒng)籌部的成員約翰·潘隆特解釋說����,技術(shù)不應(yīng)該是出發(fā)點(diǎn)。
“第一步是對(duì)公司的信息基礎(chǔ)設(shè)施進(jìn)行威脅和脆弱性分析���,這包括了過程����、程序�、標(biāo)準(zhǔn)�、人員和技術(shù)支持,使用��、傳輸和儲(chǔ)存的數(shù)據(jù)和資料等方方面面��?���!彼f,完成這一步后,就可以進(jìn)入脆弱性管理計(jì)劃了�。
位于嚴(yán)格監(jiān)管的銀行界的貝寶在對(duì)IT部門作完分析后,已經(jīng)開始對(duì)全公司進(jìn)行相應(yīng)的操作���。貝瑞特說�����,在他的企業(yè)風(fēng)險(xiǎn)‘熱點(diǎn)圖’中��,IT已經(jīng)不屬于高風(fēng)險(xiǎn)區(qū)��。
他說:“然后�,無論是否有系統(tǒng)的標(biāo)準(zhǔn)�,我們都將深入信息安全領(lǐng)域的應(yīng)用。我們將使用ISO 17799和ISO 27001等標(biāo)準(zhǔn)來對(duì)安全管理方案進(jìn)行改善�。”
ISO 17799 (預(yù)計(jì)今年將改名為ISO 27002 )提供了一套最佳的安全方案����,可以對(duì)企業(yè)安全進(jìn)行有效的管理。為了確保其效果���,ISO 27001被設(shè)定為一個(gè)認(rèn)證標(biāo)準(zhǔn)���。
“沒人能百份之百的確定���,因?yàn)槟悴豢赡芨采w整個(gè)過程?���!彼娴馈���!斑@是關(guān)于如何在要求的范圍內(nèi)���,將風(fēng)險(xiǎn)降低到可接受的程度?�!边@個(gè)過程涉及到了保護(hù)數(shù)據(jù)安全的費(fèi)用情況����。
但如何對(duì)所有的運(yùn)作過程施加影響?潘隆特認(rèn)為�,加密對(duì)于保護(hù)數(shù)據(jù)來說是一個(gè)普遍的選擇,公司可以對(duì)類似移動(dòng)數(shù)據(jù)那樣不易控制的情況進(jìn)行保護(hù)���。這樣可以避免象全國(guó)建筑商協(xié)會(huì)那樣���,收到接近一百萬英鎊的罰款;僅僅是由于一臺(tái)含有未加密數(shù)據(jù)的筆記本電腦被人從一名雇員的家中偷去�。
從另外的方面來說����,利用ITIL和CoBIT的服務(wù)和管理策略對(duì)IT活動(dòng)進(jìn)行管理,也是可以提高安全水平的����。潘隆特認(rèn)為,這些策略可以對(duì)補(bǔ)丁管理一類的基本操作提供幫助�����。
即使這些方案并沒有強(qiáng)制應(yīng)用��,對(duì)于安全管理來說��,了解更多的東西也是很有用處的�。
埃森哲的歐肯說:“三四年前,人們對(duì)補(bǔ)丁管理這樣的事情并不了