業(yè)務(wù)人員如何管理IT安全

申請免費試用、咨詢電話：400-8352-114

企業(yè)的高級主管們很少關(guān)注電腦系統(tǒng)的安全，他們通常把維護(hù)數(shù)字安全的責(zé)任推給自己的技術(shù)人員或者是外聘顧問。然而，數(shù)字安全事關(guān)重大，采取避而遠(yuǎn)之的態(tài)度終究不是辦法。根據(jù)業(yè)界估計，每年至少有90%的企業(yè)受到數(shù)字安全問題的影響，由此造成的損失高達(dá)170億美元。

經(jīng)理們其實并不需要學(xué)習(xí)復(fù)雜的IT專業(yè)知識，他們應(yīng)該致力于自己熟悉的風(fēng)險管理領(lǐng)域，衡量信息資產(chǎn)的商業(yè)價值，確定它們遭受攻擊的可能性，并針對薄弱之處制訂一套降低風(fēng)險的流程。這實際上是把電腦安全看作是一種公司運營層面而不是技術(shù)層面上的挑戰(zhàn)。它類似于傳統(tǒng)的質(zhì)量保證項目，主要是防患于未然而不是等待問題出現(xiàn)之后再去解決，并且要求所有員工的親身參與而不僅僅局限于IT人員。最終的目標(biāo)也不是讓電腦系統(tǒng)變得無懈可擊，因為這根本不可能做到，而是把由此帶來的商業(yè)風(fēng)險降低到可以接受的程度。

電腦安全威脅的種類——網(wǎng)絡(luò)攻擊、入侵、惡意代碼，認(rèn)為經(jīng)理們必須一馬當(dāng)先，帶領(lǐng)部下建立各種流程，以減少網(wǎng)絡(luò)犯罪分子攻擊得手的可能性，降低損失程度。

8點建議：

清點數(shù)字資產(chǎn)，確定每項資產(chǎn)應(yīng)受多大程度的保護(hù) 你不會安排一個全副武裝的保安守在復(fù)印機(jī)旁，防止員工復(fù)印私人資料；你也不會把公司現(xiàn)金就擺在文件柜里保存。任何事情都有一個主次，你要根據(jù)資產(chǎn)價值的高低來決定保護(hù)程度。數(shù)字安全也是同理。

明確界定IT資源的合理使用 公司應(yīng)該明確規(guī)定電腦系統(tǒng)的使用規(guī)范，比如誰可以擁有公司網(wǎng)絡(luò)的遠(yuǎn)程訪問權(quán)，在訪問之前須采取哪些安全措施。這與技術(shù)無關(guān)，而是與人和流程相關(guān)。公司必須向用戶和商業(yè)伙伴解釋清楚限制電腦使用的理由。

控制系統(tǒng)的訪問權(quán)限 公司在允許一些人訪問IT系統(tǒng)的同時，必須阻止另外一些人進(jìn)入。網(wǎng)絡(luò)防火墻、驗證和授權(quán)系統(tǒng)、加密技術(shù)都為了保證信息安全。公司還應(yīng)該采用監(jiān)視工具和入侵探測工具來定期記錄公司網(wǎng)絡(luò)上的電腦活動，及時發(fā)現(xiàn)可疑行為。

堅持使用安全的軟件 公司如果是使用外部供應(yīng)商提供的軟件，應(yīng)當(dāng)和軟件供應(yīng)商簽定安全保障合同；如果是自行開發(fā)軟件，則必須確保開發(fā)人員遵守安全的編碼與測試規(guī)則。

確切了解運行的是何軟件 公司必須跟蹤軟件的版本與修訂情況，及時更新補(bǔ)丁，把每一次軟件改動都記錄在案，這樣軟件漏洞就會減少，不讓黑客有機(jī)可乘。

檢測和基準(zhǔn)比較 公司的安全檢查重點應(yīng)是看入侵是否容易、哪些系統(tǒng)或程序易受攻擊，通過制訂完善的操作計劃，可以令黑客悻然離去。參照行業(yè)最高水平來制訂安全標(biāo)準(zhǔn)也不失為明智之舉。

安全演習(xí) 當(dāng)安全系統(tǒng)被攻破，危急時刻要迅速抉擇難免有誤，因此不妨平時建立應(yīng)急預(yù)案，演習(xí)危機(jī)處理流程。

找出問題根源 公司可以借用質(zhì)量保證系統(tǒng)中所采用的工具，如魚骨圖、八步法等，找出安全問題的根源。豐田公司“五個為什么”之類的問題也可用在調(diào)查數(shù)字安全事故上。

重要的是我們必須明白，關(guān)于數(shù)字安全的決策和經(jīng)理們平常所做的其他成本收益決策并無二致。經(jīng)理們在其他商業(yè)領(lǐng)域里使用的決策工具依然可以在電腦系統(tǒng)安全的問題上派上用場。(hbrchina)