隨著IT技術的發(fā)展,全球越來越多的企業(yè)正在逐步完善業(yè)務流程及信息處理���,將其從人工操作轉移到IT平臺上來。
由于微軟的Windows操作系統(tǒng)有著易于使用、成本較低等特性���,許多企業(yè)已經或者正在把Windows作為主要的業(yè)務流程和信息處理平臺��。從邊界服務器到內部網絡��,從企業(yè)總部到各分支機構�,企業(yè)中存在著大量使用Windows操作系統(tǒng)的服務器和客戶端����。
但是,隨著Windows作為主流平臺的廣泛使用�����,也隨之出現了層出不窮的安全威脅�����。而當金融風暴洶涌來襲��,全球企業(yè)的生存環(huán)境發(fā)生了劇烈的變化�。包括敏感數據、客戶信息以及公司基礎設施等都面臨著日益嚴峻的IT風險���,而在經濟動蕩時期����,企業(yè)更加無法承受自身安全所帶來的問題�。
所以,如何在目前這個非常時期��,嚴格控制有可能發(fā)生的隱患����,對企業(yè)進行有效的IT風險管理,是所有企業(yè)都必須直面的問題����。
對此,暢享網走訪了國際信息系統(tǒng)審計和控制協(xié)會(ISACA)北京事務委員會主席及微軟大中華區(qū)信息安全總監(jiān) 何迪生先生��,請他來深入剖析現今“IT風險管理之道”����。
多角度認知IT風險
何迪生有著多重身份: 國際信息系統(tǒng)審計和控制協(xié)會(ISACA)北京事務委員會主席、信息系統(tǒng)安全協(xié)會(ISSA)香港分會總裁�����、中國信息化推進聯盟 (CFIP) -信息安全專業(yè)委員會 (ISA) 副主任、-業(yè)務持續(xù)管理專業(yè)委員會(BCM)高級顧問����、微軟大中華區(qū)信息安全總監(jiān)。復雜的身份幫助他從不同的角度去思考IT風險管理的問題�����,因此也就對IT風險管理有了更加全景的認知�����。
談到IT風險管理����,首先需要了解威脅是什么?今天有哪些威脅?未來又會有哪些威脅?
對企業(yè)來說,任何安全技術和手段所要保護的核心內容都是數據��,目的也是為了企業(yè)正常網絡業(yè)務的運轉����。在此基礎上,何迪生解釋說:從企業(yè)外部來看�,IT風險一直在不斷加劇。對于企業(yè)IT系統(tǒng)的惡意攻擊也在變得越來越復雜�����,有越來越多的方法可以對IT系統(tǒng)進行攻擊。同時��,威脅已經不僅僅單純來自于企業(yè)外部���,更多來自企業(yè)內部的威脅已經變的越發(fā)嚴重。
在開放的網絡環(huán)境中開展業(yè)務����,至少面對四大挑戰(zhàn):第一,內部身份認證的安全性;第二�����,有組織犯罪的威脅;第三�����,各種來自于網絡的內外部攻擊;第四���,各種軟硬件的安全漏洞�����。
從業(yè)務角度來看����,在上個世紀80年代時,完全并不需要管理很多的身份��,但是隨著IT應用越來越復雜�,越來越多的功能開始被啟用。因為�����,需要用不同的功能應對業(yè)務發(fā)展需求�,比如:進入財務系統(tǒng)時,有很多網關保護著數據����。在訪問數據之前,就首先需要經過身份的認證��。顯然����,隨著IT應用愈加復雜、數據量的激增�,所以�,身份認證所帶來的問題也就越來越復雜���。
外部環(huán)境的變化也正在逼迫企業(yè)積極主動的應對IT風險���。從發(fā)布更新到漏洞被利用的時間間隔已經越來越短,從最開始的1年降到了2天甚至是1天����。另外����,過往的黑客更多是出于技術目的,只是想進入系統(tǒng)��,炫耀自己的技術水平以獲得成就感����。但是今天的黑客不是為了破壞系統(tǒng),他們更看重的是系統(tǒng)里面的數據����,并從中獲利。所以�,黑客已經從過去的技術目的�,變成現在的業(yè)務目的��。而且���,他們所能采用的惡意攻擊的形式也越來越復雜���。
此外,還有一個極其重要的問題��,IT風險最重要的部分是人�����。人永遠是最薄弱的一個環(huán)節(jié)���,必須教育員工�����,讓他們有足夠的知識來理解有關的防護措施�����。否則��,即使防護再完備�,企業(yè)依然會面臨巨大的風險。
所以�����,IT風險是復雜的�,包括了很多因素,可以想見�,今天的CIO們工作異常艱巨,需要找到正確的戰(zhàn)略���、方法去管理系統(tǒng)���。
對于