第三页
四问立场:治理之路从哪里开始?
据2007年底IDC的研究统计表明,全球差不多有85%的安全或风险问题,都来自于企业的内部。而这些风险很大一部分都是来自于企业内部跟IT相关的管理,也就是说现在越来越多的客户认识到安全管理或防范不只是构建一道外界防御的工具。
此前IBM全球治理与风险管理的战略总监Kristine Lovejoy在接受采访时透露说,一次她去参观一位用户的数据中心时,工作人员向她开放了自己的全部设备。其中,路由器就放在门口放衣服的地方,没有引起企业的重视。Kristine认为,在一个企业中,员工的信息如果不进行量化,会造成很大的风险,因为他们不知道什么是可以透露的信息,什么是不能泄漏的信息,以及他们的安全级别。
同样是来自IDC的统计,北美地区80%的CIO认为,企业的安全措施要从头开始。用户采购了很多相关工具,但是他们互相不关联,不集成,应用起来比较复杂。传统的点到点的安全解决方案不再起作用,容易造成数据孤岛和冗余成本,并且复杂性高、资产应用低效。不难看出,当前用户需要一种全新的,基于流程的安全管控方式。
德勤华永会计师事务所企业风险管理服务经理朱磊表示,信息系统风险管理的驱动因素主要包括了三个方面:1、企业自身业务量的膨胀;2、投资业态的多元化;3、信息化系统对企业运营的影响越来越显著。而风险的最终解决之道,则是提出企业的内部管控由原来的IA(Internal Audit)到IC(Internal Control)。即一个大的企业在各个层面上都有IT的因素。
有鉴于此,很多企业开始推广全新的端到端安全解决方案。此前网康科技的安全专家表示,企业当前所处的IT计算环境非常复杂,任何局部的、支离破碎的安全技术或方案都不足以应对形形色色的风险问题。企业需要的是由最先进的产品和技术组成的“端到端”的风险管理解决方案,只有这样才能确保业务数据的安全,并获得对法规遵从性的管控。
当然,在这个过程中记者无法预期哪一种具体的安全防护是最适合的。比如在以风险导向型的安全架构(SRM)或者以安全运营为导向的架构(SOC),流行程度取决于实际的效果。一般来说,企业的应用环境不尽相同,采用的安全架构也不会一样。
据Hillstone的安全专家介绍,针对一个企业我们不应该笼统的说哪一种安全架构更加适合它,而是这个企业内部的哪些应用更加适合风险导向型安全架构,哪些应用应该使用安全运营管理中心的方式。两者的充分结合以及充分协同才是企业真正需要的安全架构。
最后,从企业的内部分析,搭建一套完整的安全架构首先要做的就是根据企业能够承受的风险水平编写企业安全规范。对CIO而言,当自己有了一套可以行之有效的安全规范的时候,自然也就能找到那些需要进行安全加固的地方了。
网友评论