您的位置: 网界网 > 周报全文 > 正文

[周报全文]如何建立“安全第一”的企业

2008年04月01日 16:09:56 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:当安全专家考虑业务时,业务部门也在考虑安全性。

标签
安全
 

【CNW.com.cn 专稿】新的任务

当安全专家考虑业务时,业务部门也在考虑安全性。这些思维超前的IT经理正在为破除厌恶风险的安全专业人员兼业务敌人的固有形象而努力。如何破除呢?通过向业务同事证明他们懂得公司的经营并重视企业目标。

总部设在纽约的JPMorgan Chase公司全球基础设施部基础设施安全负责人Chad Mead说:“如果安全专业人员的唯一目标是彻底消灭风险,那么没人能用BlackBerry,没人能使用便携电脑,而且我们应当在阅读之后马上切碎所有东西。然而,今天的业务发生了变化,变得更具移动性。因此,安全性必须成为业务的合作伙伴。”

需要安全专业人员适应业务部门的需求是一项传统。记得十年前,很多企业开始将技术作为一种战略资产来考虑。当时,IT经理明白了向董事会和运营部门介绍技术计划而不强调业务好处是一种有害无益的作法。

Mead说:“业务人员必须懂得并愿意倾听安全人员的意见,但是说服业务人员一起前进是安全经理的任务。改变认为安全是一种障碍的观念,帮助业务经理提前考虑加入安全性是安全专业人员的任务。”

具有经营背景的安全专业人员可能会发现,改变自己的观念,变成业务的合作伙伴,比大多数人更容易。但是,经营背景并不是必不可少的,更重要的是安全经理要走出自己的办公室去找问题。

首要目标

康涅狄格州HartfordING Financial Services公司安全与风险管理负责人、大陆航空公司前CISO Andre Gold说,懂业务“应当是所有风险经理的关键目标。” Gold说,在ING同在大陆航空公司一样,要花时间学习呼叫、配送和维护中心等业务部门是如何工作和评估成功的。他说:“一旦你懂得了业务,你就有了可信度。你可以作为帮助业务的伙伴而不是阻碍的障碍来谈安全。”

重大成果可能出自于小的变化。在Akamai Technologies公司,信息安全高级经理Andy Ellis寻找帮助业务工作人员一点一点接受安全性的机会。

Ellis说:“我把它们叫做‘边际决定’,即人们处于做正确的事和做错事之间的边际,我将设法帮助他们做正确的事情。你可以向他们交流你对他们在3510年后可能处于什么环境的设想,但给他们一些真实的、现在可做到的东西。”

Ellis说,这种办法帮助他树立顾问形象而不是审计者的形象;他与他们合作解决问题,而不是向业务部门负责人发出应当采取什么安全措施的命令。他说,业务领导者喜欢这种方法(+本站微信networkworldweixin),并不断回来找他,请他及早参与业务项目。

业务部门的反思

Gartner副总裁John Pescatore说,当安全专业人员转变观念时,业务部门经理也在反思安全性。他们开始懂得如果将正在建模的应用接触到财务数据,将需要强认证,并开始懂得如果他们开发客户应用,必须包括审计。他说:“如果这些安全要素从一开始就考虑周全,这将是个巨大的进步。”

但是,安全专业人员越是经常地从业务立场出发,风险管理计划将会越成功。这种反省本身并不是目的。如果安全专业人员懂业务,他们将在新项目开始时有资格参加会议。从一开始就谈安全性将带来更有效的风险管理。

一些安全专业人员甚至发现,当他们可以教育业务部门了解安全的战略重要性时,他们的工作常常也就完成了。正如Gold所说:“有资格参加会议固然很好,但是当你‘由于业务经理自发讨论安全’而不必参加会议时则更加好。”(美国《Network World》供本报专稿)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]