企业安全:数据安全和风险管理

作者：丹尼·白普理

ZDNet安全频道 原创翻译 合作网站如需转载请注明ZDNet安全频道:http://security.zdnet.com.cn/ 

    丹尼·白普理认为，光购买一些所谓的新技术是不可能轻松解决令人头痛的安全问题的。实际上，良好的安全保护需要以根本的组织变革为基础。

    什么是良好的安全保护？剑桥大学计算机实验室从事安全工程方面研究的罗斯·安德森教授提醒大家，简单的设置防火墙不会让系统安全得到保障。

    他警告道：“安全经常和机构中人的位置相关”，“并且与股东相比，经营者更关注相关的方面”。

    很多时间，公司只是购买了相关的安全设备，并把它们安装起来，就宣布已经解决了安全问题。但实际上，安全问题必须被纳入公司的实际操作层面。

    "如何才能满足不同监管机构的要求，消除额外的差距？"专业从事安全领域工作的普华永道咨询合伙人迈克·鲁宾问道。

    “有两种办法来处理它，你可以按照萨班斯奥克斯利法案对公司业务进行全面清理，或者采用基于风险的评估方式。"他说，“基于风险的评估是应该选择的合适办法。”

    基于风险的评估可以分析并找出机构中现实的威胁，进一步可以通过某种形式的风险矩阵模型对其进行量化，也就是说，将风险的概率显示在相关的坐标中，以方便分析和解决。

    “在对商业计划进行分析的时间，需要保证采用了正确的框架设置和参数。”鲁宾提醒说。

    来自风险管理顾问DNV的大卫科尔认为，公司需要一个更详细的框架，以便进行基于风险的评估。

    “ISO 27001是关于如何建立管理制度的国际标准，”科尔说。“它可以告诉你什么是可预期的信息安全管理系统。”

    但是，仅仅凭借一个抽象介绍管理系统的文件，是不可能让你一步一步的建立安全管理系统的。

    “如何进行相关的系统建设，在其姊妹标准ISO 27002中已经作了详细的说明。”科尔说。
 
    作为27000系列国际标准的组成部分，还有其它一些关联标准被提供。象ISO 27004和27005，可以对安全和管理风险进行评估。而且，风险评估也被包括在内。

    英国国家标准7799款第3部分提供了概述的方法进行风险评估，并且作为国际标准ISO 27001的7799款存在。

    总体来说，专家认为信息安全必须在一个更广阔的环境下被讨论。只有通过对管理系统进行改进，调整信息处理过程和业务连续性，才能实现真正的信息安全。

    “信息安全贯穿全局，”鲁宾说道，“它必须是整个基础结构的组成部分，是不能被分割的。”

    这就意味着，实际上，比起在事件发生后进行危机处理，事前预防是最便宜的解决方案。

    类似网页的非结构化数据，电子表格中的异常数据，个别笔记本电脑在网络的非法活动，这些不为人知的事件，可以象有毒废料一样破坏信息系统的安全。如何才能避免相关情况的发生？

    “非结构化数据是无处不在。可以对它们进行备份和保护吗？”科尔提出了自己的问题。

    答案是肯定的，“只要把它们集中起来，就可以方便的通过数字证书进行保护。”而且，加密也是一个理想的预防性保护措施。

    从其它方面来看，类似业务连续性等方面的问题也可以从业务整合中得到好处。例如，对于规模较小的公司来说，可以方便地按照使用者的位置分布对SOHO类工作进行日常管理。

    这样，在遇到类似象禽流感一类流行病的影响的时间，该公司可以维持工作，而不至于由于人员的离开而导致业务停顿。

    毕竟对公司来说，业务连续性是生存的基础，很难进行相应的测试。

    不过，这样的措施在实施的时间必须慎重考虑，科尔认为。“这是一个有吸引力的模式，而且，对于规模较小的公司可能是可行的；但是，如何确保数据提供给SOHO工作者是一个需要考虑周详的问题。”

    “你需要拥有某种形式的集中式数据存储设备和大容量的宽带线路可用，不能随随便便设定一个VPN就万事大吉了。”

    鲁宾认为安全问题必须在公司的高层会议上进行讨论。但不幸的是，对于资深经理人来说，他们更喜欢谋定而后动，这就意味着在很多情况下，整合IT风险管理与企业风险管理并不会被列入议事日程。

    “董事会的责任是对公司的运行进行监督，”来自西蒙菲沙大学西格尔商学院从事风险管理同时还是加拿大帝国商业银行董事的Parent说，“你必须选择这样做，否则会带来更多的麻烦。”

    他提出了一个IT风险管理流程，可以通过一个内部和外部审计过程对包括权限、基础设施、项目、业务连续性和信息风险在内的五大类风险进行管理，并将结果通过审计委员会报告给董事会。

    不幸的是，对于经理们来说，盲目的崇拜技术会在公司结构增长的时间，让安全问题更加彻底地暴露出来。

    这很大程度上将取决于如何对风险进行分析和管理，特别是需要对高层管理人员进行培训以确保他们真正的认识到安全的重要性。

    没有人认为这是一件简单的事情，但如果安全不能保证的话，公司未来的局面可能会面临相当多的困难。