您的位置: 网界网 > 周报全文 > 正文

[周报全文]让企业安全部门成为业务“推手”

2007年07月03日 10:21:29 | 作者:网界网 张琳 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:“ 企业通常习惯于从技术角度解决安全问题,却常常忽视管理和运营漏洞才是安全问题的根源所在。”这是Martin Carmichael不远千里来到中国,最想和企业交流的问题。

标签
企业安全

不再“吓唬人”

  “ 企业通常习惯于从技术角度解决安全问题,却常常忽视管理和运营漏洞才是安全问题的根源所在。”这是Martin Carmichael不远千里来到中国,最想和企业交流的问题。

  作为知名安全厂商McAfee的首席安全官,Martin博士最主要的职责,就是预见下一代的安全技术以及企业未来的安全需求。当然,他也要负责McAfee企业自身的安全。在他看来,身为企业的CSO,首先要意识到未来安全工作的转变,敏锐地把握企业安全问题的根源,这才能使得信息安全部门成为企业核心价值的推动者。

  “过去,企业安全部门很重要的一项工作就是‘吓唬人’”。 Martin在谈到安全部门的人员会不断和企业的其他部门沟通时,告诫他们应该如何去做,否则就可能带来可怕的后果。例如数据丢失或泄密会坐牢等等。虽然这种“威胁”会在一定程度上取得一些效果, 但是,这显然不是一种良性的、合作的交流方式。尽管安全部门在灌输各种各样的安全技术,告诉其他部门应该采用什么级别的加密手段,但很少会令其真正领会背后的重要意义。

  “企业的安全部门应该改变自己的形象,成为其他部门业务发展的推手”。Martin认为,要想做到这一点,先要转换思考问题和交流的角度,从“吓唬人”改为探讨投资回报,也就是在安全方面的投入与努力究竟能给各部门带来什么价值提升,降低的风险能带来怎样的经济收益,而这才是他们真正的兴趣所在。

信息安全是一个流程

  那么,具体应该如何去做呢?Martin认为,针对一个企业,谈论它应当如何实现自己的安全,这首先并不是技术或产品层面的命题(+本站微信networkworldweixin),而是关于业务流程的讨论。因为信息安全风险管理决定企业战略,它是由业务流程所驱动的。

  目前企业安全部门所面临的挑战主要并不是来自于各种安全威胁,更多的是来自于企业内部。例如:大部分企业认为,信息安全部门的责任仅限于漏洞扫描、防御攻击和履行法规遵从要求,企业的领导通常仅从技术角度关注信息安全,并将 CSO 排除在业务决策之外。由于没有业务平台,安全部门被迫只能使用很少的资源来解决大量安全问题,企业运营中面临的真正风险并没有明确,更没有被量化。

  在今天的安全环境下,Martin建议企业首先要做的,就是了解安全风险管理的内涵,通过目前各种技术手段识别企业自身业务流程存在的风险,然后使用成熟的技术手段保障安全管理的持续性,从而达到从企业运营根源的角度控制安全风险。
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]