| 艳照门这一多米诺骨牌式的“大事件”,绝不亚于悬念大师希区柯克笔下任何一部侦探大片绵密推演后的惊悚与余韵绕梁。君不见,事件始作俑者的侦缉与追剿,迄今依然是疑窦丛生、神龙无尾;偶像明星轰然间的形象崩盘,不啻于又为向来饱受争议的娱乐生态再次抹上一层厚重的灰色;不雅照的网际疯传与热捧,乃至其间司法判例超乎想象的严厉与绝然,所影射的恰是当今社会伦理、法制等诸多领域隐然可见的真空与软肋……这些,都为艳照门这一充满诱惑的伊甸园增添了无尽的看点与谈资。 然而,当我们拨开上述摄人心魄、意欲迷离的重重迷雾,去追溯和反思艳照门东窗事发的孽缘与原罪时,却倏然惊觉:这何尝又不是一座不设防的伊甸园——事主疏于防范的大意乃至无意识的漠然,或许正是艳照门自摆乌龙间自酿苦酒的致命机枢。 在黑客当道、木马肆虐的信息社会,伊甸园到失乐园的距离,或许只有鼠标轻启间电光火石般的时间漂移与悸动。如何在e时代的背景下为企业信息安全拉起一幕全息化的天网,以构筑起坚如磐石的防火墙,值得企业经营者们战略性地深思和未雨绸缪地设计与执行。 钢铁是这样炼成的:企业信息安全的天网编织术 所谓信息安全管理(Information Security Management,ISM),是组织通过维护信息的机密性、完整性和可用性等特征,来管理和保护组织所拥有的信息资产的一项体制。当下,信息安全事件频发对于企业影响的直接体现,就在于IT服务管理需求的增长与凸现,以及IT部门角色的转变及战略地位的提升。然而,令信息安全管理者们倍觉尴尬的是,一方面,其职责以实现企业信息安全的零风险为使命,不可能像销售经理们那样,可以凭借外显的销售额增长作为其自诩的资本;另一方面,颇具讽刺和悖论意味的是,信息安全管理的价值却往往只有在安全事例发生之后才能得到充分的证明与认同。“9·11”事件中,当Morgan Stanley 集团和American Express等公司能在世贸中心遭受攻击后数小时内迅速恢复服务时,没有人怀疑灾难恢复计划这一信息安全管理核心模块的重要性;SARS肆虐时,成功实施业务持续性计划的亚信、摩托罗拉、惠普等公司使人们看到,面对这样的重大灾害时,企业怎样才能借助信息安全管理体系的强力预警与规制,避免束手无策。 可见,要想树立稳固的战略地位,信息安全管理者有必要首先向企业决策者们进行自我价值的宣示与声明:信息安全管理不只是“花钱”的部门,同时也是“省钱”的部门,它在企业价值链条上扮演着重要的“看门人”角色。通过制定具有针对性的信息安全投资回报计划(图1),能够有效提高信息安全的成本效益,从而为企业信息资产增值附加有力的筹码。这里有一个认识上的误区,即我们总会下意识地认为追求信息安全的零风险是天经地义的,但事实上,“适度防范”才是制定信息安全预算计划时更可取的原则。一般来说,如果没有特别的需要,信息安全的投入不应超过信息化建设总投资额的15%,过高的安全成本将使安全失去意义。 就本质而言,信息安全是管理问题而非单纯的技术问题,即“三分技术,七分管理”。这个在其他领域总结出来的实践经验和基本原则,在信息安全领域也同样适用。有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击所造成。简单归类,属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理加以避免的。因此,管理已成为信息安全保障能力的重要基础。正如信息安全治理专家孙强先生所指出的:“技术本身实际上是信息安全体系里最不重要的部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。我们并不是认为技术不重要,但在信息安全的架构里,它一定要建立在好的信息安全治理的基础上,信息安全归根到底是管理和治理层面的问题。” 秉承“以管理为主,以技术为辅”的战略理念,ING,这家老牌的全球著名金融机构,实施的正是与整个集团公司治理机制相符合的全球性信息安全管理体系,ING董事会一致视这种结合为其成功的基础。ING信息安全管理机制的一个关键特性是在除了拥有信息安全技术做支持外,着重于强化管理的执行力,在管理层面成立了一个独立的信息安全指导委员会,这个行动既向ING董事会和高管层充分表明了信息安全的重要性和严肃性,也为ING在全球提供了一个跨区域、跨业务的关于信息安全工作的正式推进机制。在这个定期举办的会议平台上,ING的董事们常常会问到信息安全问题,而董事会成员有责任确保采取了提供答案的机制。同所有企业一样,有时答案回答起来令人不舒服,但是至少触及了信息安全问题,还找到了答案。同时,ING的董事们深信:“不知即为福,其实预示着灾难。”管理上的“不知”,往往就是信息安全大堤崩溃的“蚁穴”。ING这种“以管理为主,以技术为辅”的信息安全管理信念,见微知著的理性而谨慎的信息安全管理态度,正是其全球性信息安全管理的成功之道。 同样值得关注的是,当今信息安全威胁已经从外部转向内部。根据美国洋基集团一项针对北美和西欧600家公司的调查显示,2004年的信息安全问题有5成源自内部,高于前一年的3成。每年企业界动辄投资上千万防毒防黑,但企业防御失效的另一个容易被忽略的问题却是:来自员工、厂商或其他合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日,有可能因为一个访客携入的计算机而瘫痪几千万IT设备。基于这样的客观现实,企业在制定信息安全计划时既要“向外看”,严防外部“恐怖分子”的袭击;更要“向内看”,堵死“内鬼”作祟的无间道。 从操作的层面上看,保护核心信息资产,加强信息资产传递渠道的管理,通过建立与企业文化相适应的安全体系,提高整个企业在信息安全管理上的执行力,即所谓的“护”、“堵”、“执行力”,是有效提高企业信息安全水平的重要管理方法。(见图2) 以信息安全组织建设为例,在“9·11”事件以后,为了加强对安全的统一管理,在美国有一种把安全保卫部门与信息安全部门合并的趋势,许多大公司设置一个首席安全官(Chief Security Officer)职位,负责包括信息安全在内的所有安全事务。摩托罗拉无疑是这一理念的身体力行者。 摩托罗拉的管理层认为,信息安全是其成长目标中重要的一环。摩托罗拉的信息安全管理机制,是通过管理层面的管理委员会和执行层面的信息安全官实现的。同时,摩托罗拉对安全事务的关注还反映在其组织结构和角色分配上,反映在其治理安排(特别是架构流程)中,即自始至终将信息安全治理摆在战略的优先位置上。 摩托罗拉首先成立了包括CIO(首席信息官)等高层主管在内的管理委员会,该委员会负责建立安全原则,定义信息安全项目的优先级别,甚至将安全预算与其他IT预算区别开来。安全办公室的所有职员负责设计、构建恰当的架构体系,同时还要和负责IT架构的人员一起,在企业级和部门级同时确保安全措施被严格地融合到架构和应用当中。公司在运营和产品两方面都严格遵循着信息安全的有关规定,这使得信息安全工作成为最高管理层所负责的事务,并成为公司IT治理不可或缺的一部分。CIO是公司高管层中的一员,信息安全官则直接向CIO负责,并作为CIO团队的一员参与每季度一次的管理委员会会议。信息安全管理最关键的一个要素,就是持续不断的教育和意识养成。安全官的职责就是协助最高管理层认识到各种安全问题爆发的可能性,以及这些隐患对业务的潜在影响。在这些会议中,安全官提出公司当前所面临的安全风险,并给出几个候选的解决方案。 摩托罗拉所采取的这种基于安全的组织结构设计,为企业如何根据自己的战略目标进行信息安全管理提供了鲜活的样板。摩托罗拉的治理安排,确保了其与安全相关的事项成为期望行为的一部分。正是凭借着卓越的公司治理和信息安全治理能力,摩托罗拉成功地从20世纪末全球通讯业的大萧条中恢复过来。 不可否认,尽管现代IT技术的发展可谓日新月异,但企业却始终无法摆脱病毒侵袭、恶意攻击和其他安全隐患等问题的困扰。是被动防御,还是主动管理?将考验企业经营者的战略智慧与胆略。长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等,可谓招事尽显,花样百出。但如果不逾越被动防御这一思维定势的鸿沟,任何现代信息安全技术与手段的换代更新,终难免摆脱不了亦步亦趋的宿命,而被动防御看似见招拆招的闲庭信步,同样难掩疲于应付的窘迫与尴尬。毕竟,病毒裂变与传播的速率正以指数级的比率倍增,而信息技术的发展,则从另一个方向推动企业构建安全体系的复杂程度和成本不断上升。要为企业找出切实有效并且能真正带来实际价值的信息安全解决方案,或许只有从主动管理的方向去尝试寻求新的答案。 惠普率先提出“变被动防御为主动管理”的全新策略和方法,包括主动防范式的安全服务、身份安全管理、信息安全管理、信息安全集成、病毒与黑客防御等系列安全解决方案,以此提升企业信息安全的临界点。与亦步亦趋、缺乏战略机动性的被动防御相比,主动管理恰似一记化干戈于端倪的“化骨绵掌”,不给信息安全隐患留下任何成长甚至萌芽的土壤。本着防范于未然,主动出击的态势,惠普通过采用主动式安全管理手段、搭建可信赖的软硬件平台、实现全球异构IT环境中连续性的身份认证和访问控制,帮助推动企业用户的安全体系,使其在有效性和业务促进能力方面达到一个全新的水平,从而帮助企业保持业务的可靠性和连续性,并满足法规要求。 一言以蔽之,企业信息安全治理必须回归管理的正途。只有基于信息安全管理效能的发酵,才能实现它与“技术防火墙”、“人力防火墙”的有机融合与相互支撑,从而为企业信息安全打造一支不可战胜的“天军”。 (文章编号:2080410,收藏请编辑短信AA加文章编号发送至106613886619) (栏目编辑:袁航market@vip.sian.com) 更多资讯请关注销售与市场微信公众号。  责任编辑: 赵艳丽 责任校对: 肖亚超 审核:徐昊晨 免责声明:本网部分文章来源于第三方平台,不代表本网观点,如有侵权请联系我们删除! |
销售与市场官方网站
( 豫ICP备19000188号-5 ) 
GMT+8, 2025-5-2 22:30 , Processed in 0.041400 second(s), 19 queries .
Powered by 销售与市场网 河南销售与市场杂志社有限公司
© 1994-2021 www.cmmo.cn
