关注商业安全 而不是标准化

ZDNet安全频道原创翻译 转载请注明作者以及出处

分析人士表示，企业应该首先关注业务安全性，而不是实现标准化。他认为"规章制度并不利于企业维护信息安全"。

Gartner 分析室主任Andrew Walls近日在一次采访中表示，企业按照规章执行的标准化并不意味着它拥有良好的商业安全性，而首先考虑安全性问题的企业，在各种规章制度面前基本不会出现不符的情况。

他认为"安全性造就了标准化，而不是标准化造就安全性"。

这方面的例子并不难找。比如，通过PCI（支付卡行业）认证的公司出现了高危险的数据泄露事故。

去年McAfee 的一位高层就表示，美国支付系统厂商Heartland Payment Systems 以及零售业主TJX都是在通过PCI标准化认证后出现信息泄露事故的。

在一个安全论坛组织的会议上，本地安全服务公司e-Cop的主管Walls认为，企业应该把企业实现标准化的行为作为企业所面对的另一个安全威胁，比如像评估病毒对企业网络的影响那样，评估企业实现行业标准化的风险。

Walls表示，"和其它的风险或威胁一样，实现一定级别的标准化就意味着仍然会保留一定的风险在其中。可能企业需要选择第三方的安全产品，雇佣或培训专职的安全人员，实现标准化文档等。但是我从没见过百分百符合标准化的企业。完全符合标准的企业在现实中是不可能存在的。你只能与标准保持兼容。"

需要风险对话

Walls认为，企业改进安全风险管理的最重要内容是，"将风险对话作为每个管理过程中的常规部分"。

这有时候需要管理层从思想上进行转变，因为在很多公司文化（不仅仅是东南亚公司）中，项目经理谈论项目中存在的风险，意味着上级领导可能认为他不能胜任工作。

"通过有关风险的对话，企业管理者将能理解安全问题带来的结果有多么严重，企业正面临什么样的安全风险，以及通过何种方案或服务来解决这种安全风险，管理者需要帮助解决什么样的问题。"

最重要的是，企业需要通过监控可疑交易预防商业欺诈，必要时进行进一步的审核动作，就好像信用卡公司在发现可疑交易时的做法一样。