风险管理,只有技术还远远不够,它更多是有关于战略、流程、人、框架等各种元素,这几个组成部分都是非常重要的。
其中,何迪生特别提到了流程——安全效果的获得还有赖于安全有效的管理流程。凡是涉及到流程问题,单独依靠安全厂商是不够的,还需要用户企业的努力,其中至少体现为:第一,企业的决策层支持安全流程的建立;第二,需要进行专业的商业风险分析;第三,依靠业务和IT的人员一起建立安全策略;第四,构建安全架构并进行部署;第五,持续不断地开展系统安全监控。
对此,何迪生指出,只有将安全管理流程与深层防御体系组合在一起,才能构成最佳的企业安全策略,而这也是企业建设安全生态圈并最终获得安全体验的必由之路。
结语
在三年前,何迪生曾对媒体表示过他的担忧:中国很多企业对信息安全重视非常不够。而现在,他承认这种情况已经发生了很大的变化。
“中国企业对信息安全、IT风险的重视程度越来越高了,尽管对于应该做什么、怎么做还不够清晰,但是在主观思想和重视程度上,已经达到了相当高度。许多发展和需求处于起步阶段,发展速度非常的快。”
尽管中国企业在安全建设问题上,还存在着一定的误区,比如认为购买昂贵的大型防火墙、杀毒软件或者有关的安全产品就能提供很好的防护。“就如同一个昂贵的防护门,但是却没有锁好。这依然起不到很好的安全防护作用。”何迪生表示,昂贵的产品和解决方案并不一定适合企业自身的需求。
其实,在这一两年中,发生在何迪生身上的改变,并不仅仅是他对外界变化的认知,两年前还几乎不能用汉语对话的他,现在已经能够讲一口流利的普通话了。然而,在他身上,从未改变的是他对安全理念的传播意愿与布道精神。
不论是在微软的身份,还是在ISACA、ISSA、CFIP- ISA、BCM的身份,何迪生都一直在努力让每一个中国企业都了解IT安全问题的重要性,和他们分享解决IT风险管理的各种经验,并提供行之有效的解决方案。
“中国太大了,这会花费大量的时间和精力,但作为一个中国人,我愿意为此付出努力。”何迪生说。