CIO的挑战:如何面对新兴的风险管理

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

IT和规则：孤独的风险管理
首席信息官们如何面对新兴的风险管理

作者：丹尼·布拉德伯里

制定规则和处理风险已经成为现代意义上的首席信息官不可推卸的责任，他们必须保证企业能够正常发展，而不受到暴露的薄弱环节或潜在的法律责任的影响。丹尼·布拉德伯里将为你诠释他们的两难处境。ZDNet安全频道原创翻译

对于IT经理们来说，制定规则可以说是一项艰巨的工作，毕竟最终面临的经营风险是非常广阔的。因此，对于IT领导者来说，如何在空泛的法律基础上满足董事会的要求呢？ZDNet安全频道原创翻译

这就要感谢含糊的规则了。

贝宝的首席信息安全官迈克尔·贝瑞特宣称，为数不多的相关法规在安全领域并不是普遍适用的。

举例来说，支付卡行业强制执行的支付卡行业数据安全标准（PCI-DSS）可以为信用卡付款操作设定类似使用和配置个人防火墙之类的指定操作。但贝瑞特并不喜欢个人防火墙这种选择，因为没有培训过的用户，在收到“应用程序nettaxi.exe正试图访问142号外部端口 ”之类信息的时间，经常作出错误的决定。ZDNet安全频道原创翻译

“很多公司根本不会选择使用它们，”贝瑞特说。“这样的话，你将面临大量敲诈的威胁。”

为了解决这些问题，贝宝加入了PCI advisory council的董事会。

埃森哲英国的安全主管斯图尔特·欧肯认为，即使有了更多的规则，但如果不进行协调的话，也会造成很多的问题。当分布在不同地区的时间，它们之间可能产生矛盾。欧肯说，为了消除差异，“必须决定什么是需要保护的最重要的部分，再确定如何去进行保护。”

在购买解决方案加强基础设施之前，在公司战略和执行层面上必须对相关的情况进行确认。

IT服务公司Getronics的首席风险策略官，信息系统审计与控制协会教育统筹部的成员约翰·潘隆特解释说，技术不应该是出发点。ZDNet安全频道原创翻译

“第一步是对公司的信息基础设施进行威胁和脆弱性分析，这包括了过程、程序、标准、人员和技术支持，使用、传输和储存的数据和资料等方方面面。”他说，完成这一步后，就可以进入脆弱性管理计划了。

位于严格监管的银行界的贝宝在对IT部门作完分析后，已经开始对全公司进行相应的操作。贝瑞特说，在他的企业风险‘热点图’中，IT已经不属于高风险区。ZDNet安全频道原创翻译

他说：“然后，无论是否有系统的标准，我们都将深入信息安全领域的应用。我们将使用ISO 17799和ISO 27001等标准来对安全管理方案进行改善。”

ISO 17799 （预计今年将改名为ISO 27002 ）提供了一套最佳的安全方案，可以对企业安全进行有效的管理。为了确保其效果，ISO 27001被设定为一个认证标准。

“没人能百份之百的确定，因为你不可能覆盖整个过程。”他警告道。“这是关于如何在要求的范围内，将风险降低到可接受的程度。”这个过程涉及到了保护数据安全的费用情况。

但如何对所有的运作过程施加影响？潘隆特认为，加密对于保护数据来说是一个普遍的选择，公司可以对类似移动数据那样不易控制的情况进行保护。这样可以避免象全国建筑商协会那样，收到接近一百万英镑的罚款；仅仅是由于一台含有未加密数据的笔记本电脑被人从一名雇员的家中偷去。

从另外的方面来说，利用ITIL和CoBIT的服务和管理策略对IT活动进行管理，也是可以提高安全水平的。潘隆特认为，这些策略可以对补丁管理一类的基本操作提供帮助。ZDNet安全频道原创翻译

即使这些方案并没有强制应用，对于安全管理来说，了解更多的东西也是很有用处的。

埃森哲的欧肯说：“三四年前，人们对补丁管理这样的事情并不了解。但是，现在情况变了，我们大部分的客户在对补丁进行处理的时间，已经有了很专业的方法和认识。”ZDNet安全频道原创翻译

但是当考虑到风险的时间，这种形式的IT管理基本是赌注。

市场分析公司Quocirca的分析师克莱夫·巴顿认为，风险管理不再是简单地锁定系统资源。对于企业来说，安全需要在更广泛的背景下考虑。（因为当考虑到企业面临的更广泛风险的时间，寻找内部控制的重点是人，而不是网络中的节点）。

“如何才能更好的和公司结构以及业务流程结合起来，”巴顿问道。“有了规则和责任，就可以确定时间和操作方式。一旦把它们结合到一起，就可以进行管理了。”

举例来说，营销人可能只需要看到一个子文件，并可能只允许他们在办公室里查看。首席执行官则可以被允许利用家中的笔记本电脑上访问所有的文件，但即使是他，也可能在使用公共Wi-Fi热点访问的时间被禁止。ZDNet安全频道原创翻译

对于特权人员的管理也可以将一个基本的风险管理概念纳入IT领域：问责制。

“我们可以对所有涉及敏感数据的活动和相关人员的身份进行记录，”潘隆特说。“记录访问数据是一种被动控制的方式。但这样操作，可以在信息安全事件发生后，进行更有效的原因分析。”

执行电子邮件归档、活动记录和配置使用的管理软件这些基本操作是非常无趣和具有挑战性的，也需要IT部门提供支持。通过安装活动目录数据库和单点登录系统可以推动问责制在整个公司的实施。但如何在个人层面上实现最佳安全效果，这将给风险管理带来挑战。贝瑞特说，即使贝宝也并还没有完全解决这些问题。ZDNet安全频道原创翻译

对于IT风险管理来说，需要去除流行的误解。风险是始终存在，你不可能将其杜绝，而且管理者被雇佣的原因就是清除风险。IT部门的工作是通过董事会解释如何通过风险管理减小面临的风险。这样的话，你必须使用董事会能够接受的方式进行沟通。所以说，沟通可能是所有工作中最困难的一个。