[导读]制定规则和处理风险已经成为现代意义上的首席信息官不可推卸的责任,他们必须保证企业能够正常发展,而不受到暴露的薄弱环节或潜在的法律责任的影响。丹尼·布拉德伯里将为你诠释他们的两难处境。
IT和规则:孤独的风险管理
制定规则和处理风险已经成为现代意义上的首席信息官不可推卸的责任,他们必须保证企业能够正常发展,而不受到暴露的薄弱环节或潜在的法律责任的影响。丹尼·布拉德伯里将为你诠释他们的两难处境。
对于IT经理们来说,制定规则可以说是一项艰巨的工作,毕竟最终面临的经营风险是非常广阔的。因此,对于IT领导者来说,如何在空泛的法律基础上满足董事会的要求呢?
这就要感谢含糊的规则了。
贝宝的首席信息安全官迈克尔·贝瑞特宣称,为数不多的相关法规在安全领域并不是普遍适用的。
举例来说,支付卡行业强制执行的支付卡行业数据安全标准(PCI-DSS)可以为信用卡付款操作设定类似使用和配置个人防火墙之类的指定操作。但贝瑞特并不喜欢个人防火墙这种选择,因为没有培训过的用户,在收到“应用程序nettaxi.exe正试图访问142号外部端口 ”之类信息的时间,经常作出错误的决定。 “很多公司根本不会选择使用它们,”贝瑞特说。“这样的话,你将面临大量敲诈的威胁。”
为了解决这些问题,贝宝加入了PCI advisory council的董事会。
埃森哲英国的安全主管斯图尔特·欧肯认为,即使有了更多的规则,但如果不进行协调的话,也会造成很多的问题。当分布在不同地区的时间,它们之间可能产生矛盾。欧肯说,为了消除差异,“必须决定什么是需要保护的最重要的部分,再确定如何去进行保护。”
在购买解决方案加强基础设施之前,在公司战略和执行层面上必须对相关的情况进行确认。
IT服务公司Getronics的首席风险策略官,信息系统审计与控制协会教育统筹部的成员约翰·潘隆特解释说,技术不应该是出发点。
“第一步是对公司的信息基础设施进行威胁和脆弱性分析,这包括了过程、程序、标准、人员和技术支持,使用、传输和储存的数据和资料等方方面面。”他说,完成这一步后,就可以进入脆弱性管理计划了。
位于严格监管的银行界的贝宝在对IT部门作完分析后,已经开始对全公司进行相应的操作。贝瑞特说,在他的企业风险‘热点图’中,IT已经不属于高风险区。
他说:“然后,无论是否有系统的标准,我们都将深入信息安全领域的应用。我们将使用ISO 17799和ISO 27001等标准来对安全管理方案进行改善。”
ISO 17799 (预计今年将改名为ISO 27002 )提供了一套最佳的安全方案,可以对企业安全进行有效的管理。为了确保其效果,ISO 27001被设定为一个认证标准。
“没人能百份之百的确定,因为你不可能覆盖整个过程。”他警告道。“这是关于如何在要求的范围内,将风险降低到可接受的程度。”这个过程涉及到了保护数据安全的费用情况。
但如何对所有的运作过程施加影响?潘隆特认为,加密对于保护数据来说是一个普遍的选择,公司可以对类似移动数据那样不易控制的情况进行保护。这样可以避免象全国建筑商协会那样,收到接近一百万英镑的罚款;仅仅是由于一台含有未加密数据的笔记本电脑被人从一名雇员的家中偷去。
从另外的方面来说,利用ITIL和CoBIT的服务和管理策略对IT活动进行管理,也是可以提高安全水平的。潘隆特认为,这些策略可以对补丁管理一类的基本操作提供帮助。
即使这些方案并没有强制应用,对于安全管理来说,了解更多的东西也是很有用处的。
埃森哲的欧肯说:“三四年前,人们对补丁管理这样的事情并不了