Content

IT 的新角色:定義與管理風險

您需要一個協同作業的方式來排定威脅的優先性,並且必須同時符合法規遵循的需求。

想像一下,如同管理個人財務投資一樣,企業也是這般管理他們的 IT 風險。 如果您不顧慮風險就貿然進行投資。 則您可能會盲目聽從市場的雜訊。這些訊息實際對股價的影響都不大,但會讓您錯失真正影響您投資重點的重要資訊。 您缺乏基本的保護,例如設定股價跌到一個特定的價格後就發出應該出售的通知給您。 而且在您收到退稅前,也無法精準計算您的投資是否正確。

個人的財務狀況是躲不掉的。 但是用來識別、評估與管理 IT 安全風險對企業影響性的模型卻絕對不是如此。 特別對今日而言。 對無法符合如沙賓法案等法規需求的人來說,安全威脅是加倍嚴重的,可能還會面臨聲譽受損與其他的懲罰。

停止管理安全。 開始管理風險。
安全風險管理 (SRM) 能保護您公司的關鍵 IT 系統與營運作業不被最嚴重的威脅中斷。 SRM 能協助貴公司了解自己的資產,並且分析出最需要注意的弱點。 安全風險管理也必須執行內部與外部的法規遵循專案。 它能協助貴公司強制執行與客戶資料完整性、公司應用程式與資料庫組態,以及財務報表準確度有關的政策。 有系統地採行 SRM 的公司可以獲得額外的優勢:因資源管理更佳與成本降低,使營運效率更為良好。

所有與 IT 營運與安全專案相關的部門,都必須展示他們可以承擔這個新挑戰的能力。 由 CIO 開始,安全官與 IT 營運人員都必須接受新的協同作業方式,使 IT 從一開始的規劃、排定優先性,到管理商業資源的風險都採行 SRM 的策略。 過去試圖保護所有資產卻經常失敗的安全策略不但人手不足,而且沒有考慮哪個威脅才是讓最讓人頭痛的。 沒有時間人工檢視所有被各自獨立的安全與法規遵循工具所忽略的資訊,判斷哪些資料與資產需要優先保護。 

為了將管理安全性的想法往前推進到管理風險,需要改變 IT 部門的心態,移除掉獨立的解決方案來回應新型態的威脅。 「安全風險管理是一項程序,而非一個產品。」McAfee 事業群產品行銷經理 Michelle Johnson Cobb 說。 SRM 同樣注重管理與評估。 它消除掉不同安全與法規遵循專案之間的界線,重新建構起協同作業的程序,確保機構安全並遵循法規。  

「SRM 的實作方式根據機構規模、產業、關鍵資產,以及所重視的外部或內部規範而略有不同,」McAfee 產品行銷資深經理 Rachel Ackerly 說。 例如,大型企業經常要符合國外買主強制規範 (compliance mandates) 的字母湯 (alphabet soup,指如 WCDMA 等科技專有名詞的字母組合) 規範。 小型經銷商可能就指關心內部對客戶資料保護的作業指引。

SRM 的核心,就是認清貴公司無法在同一個時間內,回應每一個威脅、組態錯誤或是弱點。 因此,您必須判斷您最重要的資產為何,並且加以保護。 同時,您還必須判斷那些風險是可接受或是不重要的。

在這個新觀念中,IT 部門必須能根據公司立場,制定可以為公司取得最佳商業優勢並將風險降至最低的決策的能力。 電子商務廠商可能將客戶資料庫視為最需要保護的資產,因為如果這些資料損毀,將會影響客戶的信任度。 而另一家公司則可能認為訂單處理系統是最重要的,因為如果系統出錯,客戶可能轉向其他廠商下單,永遠不再回頭。

透過結合威脅防禦與法規遵循管理,McAfee 採用了一個獨特、整合式的方式來達成 SRM。 風險分析與法規遵循管理的重要元件,是 McAfee® Foundstone® 與 Preventsys®。 Foundstone Enterprise 提供關鍵資產與弱點資訊,以識別並排定風險的優先性。 Preventsys 則整併來自協力廠商工具的弱點、組態與威脅資料,以自動化安全法規的回報作業。

這些產品都建構在一個標準化的流程之上,協助企業自動化過去仰賴人工進行的安全與法規作業。 這個流程要求您必須:

  • 了解您的資產,以及它們對企業的重要性。
  • 根據您資產的弱點與可能攻擊它們的威脅,以及您可以接受的風險程度分析風險。
  • 立刻選擇適當等級的防護與修補作業,或是在過渡時期先阻擋它們。
  • 管理法規遵循作業,回報內部與外部安全政策、程序與作業的狀況。

在特定情況下,大型企業必須花費大量金錢來分析並制定法規遵循的政策,因為他們必須根據基線來查核工作成效。 在小型或私人企業中,他們需要遵循的規範可能更為紊亂,視其規模而定。
 
現在是個充滿風險的世界,但是還是必須有人來管理它。 如同消息靈通的股市投資人會在股票熱門前就下場購買一樣,採用 SRM 策略的 IT 營運部門與安全人員現在也能洞燭先機,在效率與安全中取得平衡,為公司保護商業優勢。
 
其他資源:

請按下此處了解更多 McAfee 進行安全風險管理的方法。

 

McAfee 與/或其他的商標是 McAfee, Inc. 及/或其附設公司在美國及/或其他國家地區的註冊商標或商標。 與安全產生聯想的紅色是 McAfee 產品的特色。 此處提及的其他所有註冊和未註冊商標都是其各擁有者的自有資產。 © 2006 McAfee, Inc. 保留一切權利。