利用 IT 的方法來處理安全與法規遵循的挑戰

利用 IT 的方法來處理安全與法規遵循的挑戰

擴展法規遵循與強化安全意謂公司必須採用一種策略性的方法來導入安全風險管理。

安全的現狀已經不一樣了。 許多年來，各種機構都對安全事件有了一套對應的策略。 IT 人員會偵測弱點與威脅，以及回應攻擊。 但是今天，公司了解到他們無法再有效地阻擋每個單一安全威脅。 擴展的法規遵循壓力使得組織必須逐步展現他們是如何採取動作來降低風險。 組織必須決定一個可接受程度的風險，這個風險等級能滿足他們的商業需求並符合法規遵循的規範。

「IT 安全機構必須利用可以獲得的資金，協助公司從舊的保護模式轉變到新的風險管理模型，根據需求來設定可以接受的風險等級。」Gartner Research 在 2006 年 1 月發表的「Risk Assessment Approaches for IT Security Risk Management」報告中指出。 「公司必須接受他們無法保護所有東西的事實，因此必須決定他們可以保護的資產為何。」分析師提出這個結論。

採取最簡單的方式
大多數公司採行困難的方式。 他們以個別的專案來執行個別法規與防禦威脅。 只要出現更新與新的法條，整個程序都必須重新來過。 每一個新的弱點都代表會出現新的防禦。 這對公司資源來說是一個龐大的負擔。

事實上，公司可以採用更簡單的方式來讓法規與安全作業一起運作。 採行安全風險管理 (SRM) 方法的組織可以降低不合乎法規事件所造成的風險，並且提升他們的效率。

安全風險管理是一個程序，不是一個產品。 「安全風險管理是一個商業營運的方法，能協助企業主動地找出並消除漏洞、阻擋攻擊、管理法規與實施修補策略。」McAfee, Inc. 事業群產品行銷經理 Michelle Johnson Cobb 說。

在導入安全風險管理策略時，公司必須採行一些步驟。 他們會評估介於 IT 安全風險等級與商業成本之間的關係。 他們會定義組織可以接受的風險等級。 他們會尋找不同的安全工具，藉此取得風險資訊。 他們會對風險資訊與取得這些資訊的成本進行評估，並且從不同的安全工具分析取得的資訊。

「大多數 IT 團隊必須分析來自許多不同安全工具的大量資料。 他們必須手動將這些資訊以公司的安全政策與控制項目分別歸類。」Cobb 說道。 困難在於如何將這些沒有意義的大量資料轉換成相關於風險等級的資訊。 從這裡，公司就能清楚地察看是否值得支援不同的 IT 專案。

公司必須有效地提供 IT 風險資訊給執行主管，以支援公司稽核、ROI 分析與資源指派作業。 建立風險標準可以協助公司讓安全專案符合商業目標，以簡化安全管理作業。 最後，他們會評估與安全漏洞有關的商業風險，判斷是否需要增加 IT 安全解決方案。

組織應該定義可以提供早期通知弱點資訊的風險管理策略。 他們必須能發現資產，並且判斷出企業最關鍵的資產為何。 他們必須能判斷哪些資產是容易受到攻擊的。 他們必須可以根據安全政策，排定修補作業的順序。 然後他們必須可以透過安全風險管理策略監看法規的成效。 最後，他們需要工具來協助他們與執行主管溝通風險等級與相關的成本。

一個整合式的方法
「McAfee 是唯一提供完整的方法來取得安全風險管理成效的公司。 我們的方法整合了威脅防護與法規管理作業。」Cobb 說。

McAfee 對安全與法規遵循的整合式方法能協助您保護資產，避免威脅入侵。 它也能協助您符合內部政策與產業的規範。 例如，您可以確認所有使用者的電腦都在符合貴公司的安全標準之後才能使用網路。 McAfee® Policy Enforcer 網路存取控制可與使用者電腦上的 McAfee ePolicy Orchestrator® (ePO™) 代理程式整合，判斷這些電腦是否合乎標準。 如果電腦不合乎規範，則在問題排除之前不能使用網路。

公司會使用弱點管理工具來評估其網路與系統上軟體弱點的影響。 然後他們能使用入侵防禦系統 (IPS) 來尋找並阻擋攻擊。 但是弱點管理工具不具備阻擋攻擊的能力。 而且 IPS 阻擋攻擊時，也不會判斷哪些攻擊實際威脅到了公司的網路與系統。 McAfee 將 McAfee Foundstone® 弱點管理工具與 McAfee IntruShield® IPS 整合成了「更好」的解決方案。 他們合作無間，提供您攻擊的關聯性，然後自動加以阻擋。

McAfee 也整合了其產品線，提供政策遵循方面的進階回報能力。 您可以匯入 McAfee Foundstone 的資料到 McAfee Preventsys 產品中。 您可以將公司安全政策和標準與特定的 Foundstone 檢查項目連結，藉此您可以確認整個網路都遵循公司的政策。

其他資源:

請按下此處了解更多 McAfee 進行安全風險管理的方法。

McAfee 與/或其他的商標是 McAfee, Inc. 及/或其附設公司在美國及/或其他國家地區的註冊商標或商標。 與安全產生聯想的紅色是 McAfee 產品的特色。 此處提及的其他所有註冊和未註冊商標都是其各擁有者的自有資產。 © 2006 McAfee, Inc. 保留一切權利。