[導讀]制定規(guī)則和處理風險已經成為現(xiàn)代意義上的首席信息官不可推卸的責任���,他們必須保證企業(yè)能夠正常發(fā)展��,而不受到暴露的薄弱環(huán)節(jié)或潛在的法律責任的影響���。丹尼·布拉德伯里將為你詮釋他們的兩難處境�����。
IT和規(guī)則:孤獨的風險管理
制定規(guī)則和處理風險已經成為現(xiàn)代意義上的首席信息官不可推卸的責任�,他們必須保證企業(yè)能夠正常發(fā)展,而不受到暴露的薄弱環(huán)節(jié)或潛在的法律責任的影響。丹尼·布拉德伯里將為你詮釋他們的兩難處境。
對于IT經理們來說�����,制定規(guī)則可以說是一項艱巨的工作���,畢竟最終面臨的經營風險是非常廣闊的�。因此����,對于IT領導者來說�����,如何在空泛的法律基礎上滿足董事會的要求呢?
這就要感謝含糊的規(guī)則了�����。
貝寶的首席信息安全官邁克爾·貝瑞特宣稱���,為數不多的相關法規(guī)在安全領域并不是普遍適用的���。
舉例來說���,支付卡行業(yè)強制執(zhí)行的支付卡行業(yè)數據安全標準(PCI-DSS)可以為信用卡付款操作設定類似使用和配置個人防火墻之類的指定操作��。但貝瑞特并不喜歡個人防火墻這種選擇����,因為沒有培訓過的用戶�,在收到“應用程序nettaxi.exe正試圖訪問142號外部端口 ”之類信息的時間,經常作出錯誤的決定���。 “很多公司根本不會選擇使用它們,”貝瑞特說����。“這樣的話���,你將面臨大量敲詐的威脅��?!?/P>
為了解決這些問題���,貝寶加入了PCI advisory council的董事會�����。
埃森哲英國的安全主管斯圖爾特·歐肯認為�,即使有了更多的規(guī)則�����,但如果不進行協(xié)調的話,也會造成很多的問題�。當分布在不同地區(qū)的時間�����,它們之間可能產生矛盾�����。歐肯說,為了消除差異����,“必須決定什么是需要保護的最重要的部分,再確定如何去進行保護��?��!?/P>
在購買解決方案加強基礎設施之前����,在公司戰(zhàn)略和執(zhí)行層面上必須對相關的情況進行確認��。
IT服務公司Getronics的首席風險策略官���,信息系統(tǒng)審計與控制協(xié)會教育統(tǒng)籌部的成員約翰·潘隆特解釋說��,技術不應該是出發(fā)點。
“第一步是對公司的信息基礎設施進行威脅和脆弱性分析����,這包括了過程���、程序、標準��、人員和技術支持��,使用�����、傳輸和儲存的數據和資料等方方面面?��!彼f���,完成這一步后,就可以進入脆弱性管理計劃了�����。
位于嚴格監(jiān)管的銀行界的貝寶在對IT部門作完分析后�,已經開始對全公司進行相應的操作。貝瑞特說�����,在他的企業(yè)風險‘熱點圖’中��,IT已經不屬于高風險區(qū)�����。
他說:“然后���,無論是否有系統(tǒng)的標準���,我們都將深入信息安全領域的應用。我們將使用ISO 17799和ISO 27001等標準來對安全管理方案進行改善�。”
ISO 17799 (預計今年將改名為ISO 27002 )提供了一套最佳的安全方案����,可以對企業(yè)安全進行有效的管理。為了確保其效果��,ISO 27001被設定為一個認證標準��。
“沒人能百份之百的確定���,因為你不可能覆蓋整個過程���。”他警告道��?����!斑@是關于如何在要求的范圍內���,將風險降低到可接受的程度���?!边@個過程涉及到了保護數據安全的費用情況���。
但如何對所有的運作過程施加影響?潘隆特認為�,加密對于保護數據來說是一個普遍的選擇����,公司可以對類似移動數據那樣不易控制的情況進行保護。這樣可以避免象全國建筑商協(xié)會那樣�����,收到接近一百萬英鎊的罰款;僅僅是由于一臺含有未加密數據的筆記本電腦被人從一名雇員的家中偷去��。
從另外的方面來說�����,利用ITIL和CoBIT的服務和管理策略對IT活動進行管理���,也是可以提高安全水平的。潘隆特認為��,這些策略可以對補丁管理一類的基本操作提供幫助����。
即使這些方案并沒有強制應用����,對于安全管理來說��,了解更多的東西也是很有用處的。
埃森哲的歐肯說:“三四年前��,人們對補丁管理這樣的事情并不了