擴(kuò)展型企業(yè)面臨愈加嚴(yán)峻的安全形勢(shì)

信息安全首先是個(gè)管理問題

因特網(wǎng)大大改變了企業(yè)開展工作的方式，以至于主管人員、管理理論家和決策者們都在努力探究種種機(jī)遇和后果：機(jī)遇（如外包）大大降低了成本、帶來諸多新的商業(yè)模式；后果（如竭力保護(hù)信息的隱私性和安全性）則讓公司蒙受重大經(jīng)濟(jì)損失，帶來十年前想象不到的風(fēng)險(xiǎn)。

對(duì)惠普這樣的公司來說，近幾年變化著實(shí)驚人。僅僅幾年前，惠普還把產(chǎn)品設(shè)計(jì)師、營(yíng)銷人員和制造人員安排在同一辦公園區(qū)內(nèi)。研發(fā)人員把工作臺(tái)上的產(chǎn)品從樓梯上搬到裝配線上，制作原型、進(jìn)行試驗(yàn)；營(yíng)銷人員在午飯時(shí)間與設(shè)計(jì)工程師一起打排球，交流客戶需求或者競(jìng)爭(zhēng)威脅方面的想法。如今，這些人有許多在擴(kuò)展型企業(yè)（Extended Enterprise）工作。這種企業(yè)由分布在全世界的公司組成，通過網(wǎng)絡(luò)進(jìn)行聯(lián)系。

當(dāng)然，不只是惠普才會(huì)有上述變化，因特網(wǎng)已經(jīng)使各種類型或規(guī)模的公司可以把工作轉(zhuǎn)移到最有效率的地方。譬如，沃爾瑪已把許多傳統(tǒng)的零售職能轉(zhuǎn)移給供應(yīng)商，如今要求所有供應(yīng)商一律采用電子通信手段，以協(xié)調(diào)例行采購(gòu)和供應(yīng)鏈規(guī)劃。同樣，通用汽車（GM）等汽車生產(chǎn)商把產(chǎn)品設(shè)計(jì)職能重新交給了供應(yīng)商，如今通過網(wǎng)絡(luò)與全世界的供應(yīng)商交換詳細(xì)的產(chǎn)品設(shè)計(jì)信息。這種日益依賴信息可用性的現(xiàn)實(shí)，加上日益擔(dān)心網(wǎng)絡(luò)安全，已促使許多跨國(guó)公司往安全的企業(yè)計(jì)算平臺(tái)上投入巨資。

如今，由于幾乎各大公司紛紛采用外包、低成本采購(gòu)，它們面臨本公司內(nèi)部以及供應(yīng)商之間的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括供應(yīng)中斷和延遲、知識(shí)產(chǎn)權(quán)失竊、客戶失望等。為了加快企業(yè)各個(gè)方面的流程，公司把從制造、分銷、會(huì)計(jì)到人力資源的諸多應(yīng)用系統(tǒng)連接起來，這樣一來，它們往往會(huì)在無(wú)意中暴露出來新的安全漏洞。譬如說，許多比較老的制造控制應(yīng)用系統(tǒng)都是為了獨(dú)立運(yùn)行而開發(fā)的，很少考慮到安全，集成導(dǎo)致這些系統(tǒng)暴露在其他業(yè)務(wù)系統(tǒng)面前，往往會(huì)出現(xiàn)許多安全漏洞。同樣，如果兩家公司為了加快信息流動(dòng)而把各自的網(wǎng)絡(luò)連起來，這也會(huì)導(dǎo)致新的漏洞。

單單跟蹤及管理全球范圍的工作流就頗具挑戰(zhàn)性。一旦外包出去，工作及相關(guān)信息會(huì)迅速流向供應(yīng)商的供應(yīng)商。從顧客開始，再到最小的供應(yīng)商，一家擴(kuò)展型企業(yè)在此過程中有可能牽涉上千家公司。要控制擴(kuò)展型企業(yè)的敏感信息，難度就變得更大。雷神公司對(duì)此深有體會(huì)：去年夏天，雷神公司與IBM簽訂了一份外包協(xié)議，由IBM為其管理它所實(shí)施的SAP項(xiàng)目。IBM表明打算雇用印度的分包商以壓低成本后，雷神的主管人員馬上意識(shí)到自己遇到了問題。遵守美國(guó)的法規(guī)、確保敏感的飛機(jī)設(shè)計(jì)數(shù)據(jù)不會(huì)遭到破壞，并非易事。由于從工資單管理到給病人開賬單的各項(xiàng)工作外包出去，有關(guān)隱私和數(shù)據(jù)安全的問題隨之迅速出現(xiàn)。

單靠IT技術(shù)解決不了問題

那些指望技術(shù)可以解決安全問題的人會(huì)大所失望。連銷售技術(shù)解決方案的公司也樂于承認(rèn)：光靠技術(shù)提供不了安全。最近在塔克商學(xué)院數(shù)字戰(zhàn)略中心和思科公司聯(lián)合舉辦的一次峰會(huì)上，來自各行各業(yè)的CIO們探討了安全管理方面的成果與難題。他們非常同意這種看法：信息安全首先是個(gè)管理問題。安全管理成功的關(guān)鍵是企業(yè)文化、安全教育及行之有效的風(fēng)險(xiǎn)評(píng)估。

許多人忍不住會(huì)想：IT安全是信息技術(shù)小組的職責(zé)，但事實(shí)絕非如此。質(zhì)量管理革命盛行期間，質(zhì)量迅速得到提高的是那些認(rèn)識(shí)到單單質(zhì)量控制部門無(wú)法確保質(zhì)量的公司，質(zhì)量控制必須成為組織文化的一部分。與質(zhì)量一樣，安全也是每個(gè)人的職責(zé)。業(yè)務(wù)經(jīng)理不能消極以待，坐等信息安全警察給予保護(hù)。信息主管必須闡明風(fēng)險(xiǎn)，而主管人員必須共同權(quán)衡這些風(fēng)險(xiǎn)。思科公司的CIO Brad Boston描述了他們是如何從單單對(duì)業(yè)務(wù)經(jīng)理的要求做出肯定或否定答復(fù)，變成幫助他們做出明智決策的：“我們的工作就是，確認(rèn)風(fēng)險(xiǎn)以及該風(fēng)險(xiǎn)實(shí)際發(fā)生的威脅，然后告知應(yīng)當(dāng)采取哪些補(bǔ)救方案。隨后，業(yè)務(wù)經(jīng)理對(duì)哪些風(fēng)險(xiǎn)可以接受、哪些風(fēng)險(xiǎn)無(wú)法接受做出決策。組織上下的每一層都有這種責(zé)任，包括董事會(huì)?！币晃籆IO抱怨說，他向董事會(huì)介紹新款應(yīng)用軟件時(shí)，大家兩眼放光，可是當(dāng)他談到安全問題時(shí)，大家卻變得兩眼呆滯。要確保信息技術(shù)管理行之有效、建造注重安全的企業(yè)文化，關(guān)鍵是讓了解風(fēng)險(xiǎn)的董事會(huì)成員幫助其他成員認(rèn)識(shí)到這些風(fēng)險(xiǎn)。

整個(gè)組織上下開展安全教育跟建造安全文化一樣重要。安全需要整個(gè)組織關(guān)注細(xì)節(jié)。不過，安全教育要有針對(duì)性，還要與每個(gè)人的職責(zé)有關(guān)。僅僅散布恐慌心理對(duì)提高安全無(wú)濟(jì)于事。而太多的安全經(jīng)理喊著“天塌下來了”，只是為了引起人們的注意。這種做法一開始能得到一些人的注意，但長(zhǎng)此以往沒啥效果。對(duì)CIO們來說，要贏得并維持其他高層管理人員的信任，就需要從業(yè)務(wù)角度闡明風(fēng)險(xiǎn)和機(jī)遇--而不僅僅是危言聳聽。

嘉吉公司的全球信息保護(hù)經(jīng)理Scott Day介紹了這家農(nóng)業(yè)聯(lián)合大企業(yè)是如何劃分其培訓(xùn)工作的?！拔覀兇_認(rèn)了各種角色以及擔(dān)當(dāng)這些角色的業(yè)務(wù)部門領(lǐng)導(dǎo)。業(yè)務(wù)經(jīng)理要知道什么？他不需要從技術(shù)上來了解TCP/IP，但要知道這對(duì)其決策權(quán)有何影響？我們開展這項(xiàng)工作，是因?yàn)槲覀冋J(rèn)為，這么做有助于把安全教育融入到企業(yè)文化當(dāng)中。如果每個(gè)人都知道職責(zé)所在、該怎樣去負(fù)責(zé)，他們就會(huì)去獲取需要的東西，確保自己不落伍?！?BR>　　
最后，擴(kuò)展型企業(yè)要獲得安全，需要認(rèn)真細(xì)致地審查供應(yīng)商和客戶，不斷評(píng)估它們所帶來的安全風(fēng)險(xiǎn)。譬如，讓顧客意識(shí)到種種風(fēng)險(xiǎn)，促使他們采用更有效的安全策略。對(duì)許多金融公司來說，迫使客戶采用最新版本的網(wǎng)絡(luò)瀏覽器這樣的做法既保護(hù)了客戶，又保護(hù)了公司自己。有時(shí)，保護(hù)擴(kuò)展型企業(yè)意味著不要與那些風(fēng)險(xiǎn)超過商業(yè)利益的公司合作。誠(chéng)信管理研究公司的CIO Jim MacDonald介紹了信息安全問題如何影響到他公司在合作方面的做法?！皩?duì)我們來說，與那些擁有優(yōu)良創(chuàng)新系統(tǒng)的小型技術(shù)公司合作是個(gè)問題。原因在于，我們往往喜歡那些公司，因?yàn)樗鼈兡軒椭覀儷@得競(jìng)爭(zhēng)優(yōu)勢(shì)?？墒且坏┪覀冞^去進(jìn)行安全評(píng)估，就會(huì)發(fā)現(xiàn)，安全通常不是這些公司關(guān)注的方面。對(duì)于是否與這類公司進(jìn)行合作，我們較為慎重，之所以不太滿意，是因?yàn)橛X得雖然技術(shù)不錯(cuò)，但它們對(duì)安全根本不夠重視?！?/P>

根據(jù)IT安全風(fēng)險(xiǎn)確定供應(yīng)商合不合格與評(píng)估其財(cái)務(wù)風(fēng)險(xiǎn)或質(zhì)量一樣重要。正如通用汽車的供應(yīng)鏈主管Mark Hillman所言：“如果你有許多外包項(xiàng)目，就要刺探每個(gè)人?！边@里的“刺探”是指評(píng)估外包風(fēng)險(xiǎn)，然后像對(duì)待供應(yīng)商可能帶來的其他風(fēng)險(xiǎn)那樣對(duì)其加以監(jiān)控。這意味著確保供應(yīng)商對(duì)你內(nèi)部系統(tǒng)的訪問不會(huì)危及你的網(wǎng)絡(luò)，或者確保它們自身的安全足以保護(hù)彼此共享的知識(shí)產(chǎn)權(quán)。在擴(kuò)展型企業(yè)大行其道的這個(gè)新世界，絕不能對(duì)安全掉以輕心。