扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNet安全频道原创翻译 转载请以文字链形式注明出处
对于头部周围的‘风险’该怎么处理?
只是一个支配世界的游戏...
作者:威尔·史特格登
对于所有企业来说,了解存在风险的部分都将是一项挑战;因为新的需求、法律、技术和发展趋势总是不停地出现。在本文中,威尔就将和大家一起探讨相关的问题。
企业面临的问题经常被简单化处理。例如,近年来对于安全的期待,如果从一个二进制的角度来看的话,就只有‘安全’或‘不安全’的选项。
告诉技术人员这里存在可以容忍的不安全因素,就如同告诉素食主义者吃一点点肉是没有问题的一样。
不过,最近‘风险’被提及的情况是越来越多了。
如果你不了解风险分析,那么,又怎么能知道所花费的时间和金钱是否涵盖了真正的威胁,而并非只是的‘感觉到的威胁’呢?
——安全顾问公司LogicaCMG,戴夫·马丁
企业已开始认识到,风险不只是工作有了什么安全漏洞或薄弱环节而必须予以加强,而是在法律责任中找到一个程度合适的平衡点。
安全顾问公司LogicaCMG的信息安全顾问戴夫·马丁认为,“如果你不了解风险分析,那么,又怎么能知道所花费的时间和金钱是否涵盖了真正的威胁,而并非只是的‘感觉到的威胁’呢? ”ZDNet安全频道原创
因此,公司必须找出涉及到IT风险的所有领域。这个风险是不确定的,可能来自员工将笔记本电脑带回家,或者大量数据出现在第三方的数据中心上。因此,必须了解风险的构成,以及如何管理或减轻相关风险。 ZDNet安全频道原创
公司必须根据自身情况作出分析:一个危险的业务可能导致整个工作的停止吗?如果影响进一步扩大该如何处理?如果它涉及到知识产权损失,导致丧失了竞争优势,或失去客户资料该怎么办?而且,严重的损害赔偿条款,未来的业务、声誉,甚至可能的惩罚措施也应该被考虑在内?ZDNet安全频道原创
这些风险是长时间存在的,不可能通过审计或者尽职调查显示出来。但是,为了企业的利益,必须进行全面和结构化的风险评估,以保证其可以被控制。ZDNet安全频道原创
《资产业主的风险评估》一书的作者风险专家艾伦·考尔德,告诉silicon.com :“风险评估的最佳做法包含了五个核心方面的要求。即‘由下而上’,整个公司基础设施的相关信息,硬件,软件和数据等部分。”
“它需要进行对面临的威胁和系统的脆弱性进行全面的分析,什么地方可能被利用,发生这样的情况会导致什么样的影响;而且,还需要重复进行,因为威胁会改变,因此控制方法需要进行重新评估。”
“在控制方面需要加以重视,这样才能在风险中取得平衡。它需要考虑到业务需要的资源,并确保需要的人获得相关的资源。”ZDNet安全频道原创
公司还必须认识到技术已不再是完全独立于其余的业务部门。举例来说,电子邮件归档就应该多考虑首席执行官和董事会的需求,而不仅仅是IT部门。
在员工违规使用即时通讯应用,违反电子邮件使用政策,在工作的时间使用iPod以及遗漏了重要的知识产权资料所有这些问题得到解决之前,IT部门必须象人力资源、法律和一线管理等部门一样到前台进行处理。ZDNet安全频道原创
虽然没有两家公司存在着相同的风险,但在知识型经济环境中有些风险是普遍的。
安全软件生产商赛门铁克的首席科学家盖伊·巴克表示,企业需要彻底了解它们做了什么,是如何做的以及什么样的数据是必须的。
接下来,他们需要了解,数据存储在什么位置,谁有权访问它,什么时间为什么以及如何利用它。
“一旦这些问题被解决,公司就可以对包括最新的数据泄漏在内可能出现的风险进行评估了。”巴克表示。
“随着技术的发展,公司需要找出面临的新威胁。举例来说,越来越多的公司使用移动通信设备发送电子邮件,这样就产生了对这一类数据进行保护的需求。此外,公司在其风险规划必须考虑无心之失带来的损失,象当有人通过电子邮件发出了错误的数据给某人以外的公司;以及恶意操作造成的危害,例如通过基于Web的电子邮件传送机密数据以获得个人的私利。”巴克补充说。ZDNet安全频道原创
对于新技术来说,必须从商业的角度对其风险和优势进行评估。在任何时候,两方面都是需要被考虑到的。
因为,举例来说,如果提供的东西没有可行的价值,而且会对业务构成了巨大风险,这项技术在公司中不可能就有自己的位置。或者,如果有提供了巨大的商业利益而不构成风险的技术,那还需要等什么,直接安装就可以了。但是,实际上在这两个极端之间是存在巨大的灰色地带的,因此,企业必须对技术进行评价已确保它们的适用性。ZDNet安全频道原创
这不是一个非黑即白的问题,因此,理解风险的意义是相当不容易的。但对于企业来说,它却是必不可少的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者