業(yè)務人員如何管理IT安全

申請免費試用、咨詢電話：400-8352-114

企業(yè)的高級主管們很少關注電腦系統(tǒng)的安全，他們通常把維護數(shù)字安全的責任推給自己的技術(shù)人員或者是外聘顧問。然而，數(shù)字安全事關重大，采取避而遠之的態(tài)度終究不是辦法。根據(jù)業(yè)界估計，每年至少有90%的企業(yè)受到數(shù)字安全問題的影響，由此造成的損失高達170億美元。

經(jīng)理們其實并不需要學習復雜的IT專業(yè)知識，他們應該致力于自己熟悉的風險管理領域，衡量信息資產(chǎn)的商業(yè)價值，確定它們遭受攻擊的可能性，并針對薄弱之處制訂一套降低風險的流程。這實際上是把電腦安全看作是一種公司運營層面而不是技術(shù)層面上的挑戰(zhàn)。它類似于傳統(tǒng)的質(zhì)量保證項目，主要是防患于未然而不是等待問題出現(xiàn)之后再去解決，并且要求所有員工的親身參與而不僅僅局限于IT人員。最終的目標也不是讓電腦系統(tǒng)變得無懈可擊，因為這根本不可能做到，而是把由此帶來的商業(yè)風險降低到可以接受的程度。

電腦安全威脅的種類——網(wǎng)絡攻擊、入侵、惡意代碼，認為經(jīng)理們必須一馬當先，帶領部下建立各種流程，以減少網(wǎng)絡犯罪分子攻擊得手的可能性，降低損失程度。

8點建議：

清點數(shù)字資產(chǎn)，確定每項資產(chǎn)應受多大程度的保護 你不會安排一個全副武裝的保安守在復印機旁，防止員工復印私人資料；你也不會把公司現(xiàn)金就擺在文件柜里保存。任何事情都有一個主次，你要根據(jù)資產(chǎn)價值的高低來決定保護程度。數(shù)字安全也是同理。

明確界定IT資源的合理使用 公司應該明確規(guī)定電腦系統(tǒng)的使用規(guī)范，比如誰可以擁有公司網(wǎng)絡的遠程訪問權(quán)，在訪問之前須采取哪些安全措施。這與技術(shù)無關，而是與人和流程相關。公司必須向用戶和商業(yè)伙伴解釋清楚限制電腦使用的理由。

控制系統(tǒng)的訪問權(quán)限 公司在允許一些人訪問IT系統(tǒng)的同時，必須阻止另外一些人進入。網(wǎng)絡防火墻、驗證和授權(quán)系統(tǒng)、加密技術(shù)都為了保證信息安全。公司還應該采用監(jiān)視工具和入侵探測工具來定期記錄公司網(wǎng)絡上的電腦活動，及時發(fā)現(xiàn)可疑行為。

堅持使用安全的軟件 公司如果是使用外部供應商提供的軟件，應當和軟件供應商簽定安全保障合同；如果是自行開發(fā)軟件，則必須確保開發(fā)人員遵守安全的編碼與測試規(guī)則。

確切了解運行的是何軟件 公司必須跟蹤軟件的版本與修訂情況，及時更新補丁，把每一次軟件改動都記錄在案，這樣軟件漏洞就會減少，不讓黑客有機可乘。

檢測和基準比較 公司的安全檢查重點應是看入侵是否容易、哪些系統(tǒng)或程序易受攻擊，通過制訂完善的操作計劃，可以令黑客悻然離去。參照行業(yè)最高水平來制訂安全標準也不失為明智之舉。

安全演習 當安全系統(tǒng)被攻破，危急時刻要迅速抉擇難免有誤，因此不妨平時建立應急預案，演習危機處理流程。

找出問題根源 公司可以借用質(zhì)量保證系統(tǒng)中所采用的工具，如魚骨圖、八步法等，找出安全問題的根源。豐田公司“五個為什么”之類的問題也可用在調(diào)查數(shù)字安全事故上。

重要的是我們必須明白，關于數(shù)字安全的決策和經(jīng)理們平常所做的其他成本收益決策并無二致。經(jīng)理們在其他商業(yè)領域里使用的決策工具依然可以在電腦系統(tǒng)安全的問題上派上用場。(hbrchina)