IT安全必須引入風險管理的四大理由

申請免費試用、咨詢電話：400-8352-114

如果上網(wǎng)行為安全部門希望自己真正幫企業(yè)在如今瞬息萬變的各類攻擊威脅下頑強生存，那么研發(fā)戰(zhàn)略的科學性絕對是保障業(yè)務正常運轉(zhuǎn)的首要條件。安全專家提醒我們，隨著破壞性活動與惡意軟件感染率的持續(xù)走高，舊有安全機制已經(jīng)很難應對新形勢下的新挑戰(zhàn)。

“傳統(tǒng)上網(wǎng)行為安全工作其實是以簡單粗暴的方式重復同樣的流程，”來自財務服務企業(yè)信息系統(tǒng)及安全管理部門的J. Wolfgang Goerlich指出。“我們每天所做的工作都大體相似，部署各類系統(tǒng)、安全機制及工具，然后坐等這些成果在新的漏洞及攻擊威脅下土崩瓦解。問題出現(xiàn)之后，我們再次重復之前的過程，希望重新打造的安全屏障能夠讓我們在惡意活動下再茍延殘喘一段時間。”

根據(jù)Goerlich與他多位同事的意見，如果安全部門打算讓過去日復一日壓力極大的工作變得更有價值、更能有效支持企業(yè)業(yè)務的順利進行，技術(shù)團隊需要做的是將風險管理理念納入決策考量范疇。接下來我就列出幾點主要理由，向大家解釋為什么安全專家一致認為風險管理具有如此突出的重要性。

風險管理幫助企業(yè)整理優(yōu)先次序

由于信息安全團隊的人手永遠緊張、而需要照顧的系統(tǒng)又太多，因此傳統(tǒng)安全維護方案令我們很難看清到底哪些工作應該優(yōu)先完成，Goerlich表示。

“除此之外，部署、維護之類的工作并不是安全管理的最終目標，大家首先要認清一點——我們的職責是保證企業(yè)能夠不受攻擊活動的影響，進而順利完成既定業(yè)務，”他解釋道。“風險管理正是對癥的一味好藥，它將團隊的注意力集中在幫助企業(yè)實現(xiàn)業(yè)務計劃、并依優(yōu)先次序保護關(guān)鍵性系統(tǒng)的工作上。”

Entrust公司CTO Jon Callas也認為，在統(tǒng)籌基礎上合理進行風險分析及管理完全可以讓安全工作變得事半功倍。

“通過分析，我們能夠明確自己當前正面臨哪些威脅、這些威脅需要分配哪些資源加以消除。另外，一旦出現(xiàn)嚴重安全問題，我們可以迅速后果的嚴重性，并更好地理解下一步該做什么、為什么要這么做，”他總結(jié)道。

將安全問題翻譯成商務語言

根據(jù)ALienVault公司研究工程師Conrad Constantine的說法，風險管理能夠維系信息安全，而信息安全則保障了企業(yè)整體。

“缺乏風險管理機制支持的安全工作對于企業(yè)而言只是一種開銷巨大的紙上談兵行為，”他認為。

與其讓信息安全團隊焦頭爛額地應付各種來自暗處的攻擊威脅，倒不如采取風險管理機制所擅長的辦法——以純粹的資金標準將保護工作進行量化，并幫助上網(wǎng)行為部門把職責回歸本源，即確保企業(yè)在信息系統(tǒng)領域的成本投入得到保障。

“大家會花2000美元來保護那些只值2000美元的財物嗎？這顯然是筆賠本的買賣，對吧？實際上如果沒有風險評估機制，我們根本搞不清自己要保護的東西有多大價值，更談不上計算該在安全機制上投入多少現(xiàn)金了，”Network Box美國公司CTO Pierluigi Stella告訴我們。“合理的風險管理機制非常重要，它能幫我們理解該在安全方面投多少錢。我們到底在保護什么？保護對象的價值到底有多大？如果丟失了這些信息或者被壞人鉆了空子，我們將面臨多少損失？將一切問題歸于量化，然后再著手管理。”

而在英國電信全球服務部的Bryan Fite看來，風險管理這個詞本身的描述并不準確。

“我認為稱其為風險&回報管理更貼切，因為它的核心在于指導企業(yè)制定決策。身為一名技術(shù)人員，我們在陳述席上必須用嚴謹準確又易于理解的方式幫助企業(yè)了解哪些資源代表著實實在在的利益，”Fite表示。他目前在英國電信全球服務部駐美國&加拿大分部擔任投資組合經(jīng)理。“通過標準化且簡潔通俗的語言，安全專家能夠更高效地與預算及政策制定者們進行溝通，進而將自己的意見準確傳達給對方。”

別把安全希望完全寄托于技術(shù)

既然在業(yè)務與技術(shù)部門之間的對話中我們選擇傾向于前者，那么風險管理所涵蓋的范疇自然也會超出上網(wǎng)行為安全團隊所熟知的技術(shù)領域。而這種重心的轉(zhuǎn)移對改善企業(yè)抵御惡意攻擊而言意義重大。

“把安全的希望完全寄托于技術(shù)還遠遠不夠，”FireMon公司總裁兼CTO Jody Brazil指出。“如果技術(shù)沒有經(jīng)過高效配置，我們根本不可能得到預期中的保護效果。風險管理會對技術(shù)的執(zhí)行效率加以評估，同時考量操作人員與處理流程到底能否發(fā)揮技術(shù)中所蘊含的最大價值。”

在這方面，Kevin Mitnick的觀點更有說服力，也有很多讀者結(jié)合自身經(jīng)歷驗證了其準確性。Mitnick的核心觀點在于，糟糕的執(zhí)行流程與錯誤的行政決策往往比技術(shù)方面的疏漏更容易引發(fā)安全問題。

“許多企業(yè)把安全事務當成兒戲，認為部署幾套硬件就能解決問題。他們沒有意識到，在未能準確把握薄弱環(huán)節(jié)所在、不知道如何正確執(zhí)行決策并且沒有對投入資金進行量化評估的情況下，再成熟的技術(shù)也無法阻止麻煩的出現(xiàn)，”Stella解釋稱。“如果員工缺乏安全意識，隨意把社?？ǖ膹陀〖舆M垃圾桶，那么配備再好的碎紙機又有什么用呢？技術(shù)只有被正確使用才能真正帶來收益。”

將上網(wǎng)行為安全納入企業(yè)的發(fā)展藍圖

更重要的是，風險管理能夠切實將上網(wǎng)行為安全納入企業(yè)的發(fā)展藍圖，把概念層面的指導與企業(yè)持續(xù)穩(wěn)定的發(fā)展融合為一個整體。只有這樣，創(chuàng)新與繁榮才能獲得有力保障，技術(shù)支持團隊才會擁有正確的努力方向。

“許多企業(yè)把安全看作只需要上網(wǎng)行為部門操心的事情，但現(xiàn)實恰恰相反，風險評估與管理應該是業(yè)務流程的一部分，需要所有業(yè)務部門共同配合，”Stella告訴我們。“合理的風險管理機制需要多方協(xié)作，上網(wǎng)行為部門只是項目的管理者，而各個業(yè)務部門則是分布執(zhí)行者中的成員，他們應該將自己的知識儲備納入執(zhí)行流程；要做到這一點，企業(yè)高管們首先要端正立場，以嚴謹?shù)男膽B(tài)自上而下加以貫徹。”

不過也正是由于實際執(zhí)行太過繁復，因此大部分企業(yè)的領導者都會下意識地抗拒上網(wǎng)行為風險管理機制，他表示。

“企業(yè)高管每天都有一大堆事情要忙，業(yè)務部門也不理解自己的加入會帶來怎樣深遠的安全影響；而上網(wǎng)行為部門就這樣被孤立出來，以一己之力替整個企業(yè)完成對抗攻擊威脅的艱巨任務，”他指出。“因此面對有限的人力與物力，上網(wǎng)行為部門只能選擇購買某項技術(shù)并宣稱已經(jīng)部署完成。但實際上問題并沒能得到徹底解決，因為根本沒人踏踏實實做過風險評估，最終技術(shù)人員會發(fā)現(xiàn)自己根本沒什么可管的。他們只能靜靜等待問題出現(xiàn)，然后再想辦法降低損失、亡羊補牢。”

 【推薦閱讀】

◆上網(wǎng)行為運維管理專區(qū)

◆怎樣才算是一個合格的上網(wǎng)行為運維工程師

◆上網(wǎng)行為運維工作師需要什么樣的技能及素質(zhì)

◆網(wǎng)站上網(wǎng)行為運維管理經(jīng)驗探討和心得分享

◆網(wǎng)管軟件專區(qū)