信息安全管理的科学方法,让信息安全同业务目标保持一致

在过去的几年中,我为大量的组织创建了许多安全方案。由于公司所属的行业、风险状况和文化的不同,每个项目也都不尽相同。决定我使用的方法的最大的差异之一在于执行官的支持程度。

当我拥有高层的支持时,我使用自上而下的方法。我和管理层一起,建立一个启动和实施安全实践的框架。风险管理战略同组织的战略和目标紧密联系。治理 模式和政策也适用于执行战略和整体保护标准。这种方法的关键在于,有了高层的支持,可以协同、一致并有效地利用资源。人员,流程和技术一起工作来共同管理风险和成本。合规是实施了整体安全方案,而非具体目标的结果。

不是很成熟的组织使用自下而上的方法,操作人员在高层制定政策和程序之前加固核心资产。这种方法的问题之一在于,管理层没有为安全方案指定大的方 向,而只是设定了一些诸如数据防泄漏、端点保护、Web应用防火墙等可能和组织整体战略相脱节的目标。例如:合规成了总体目标,基于修复的需要,技术控制 措施被采购和部署。政策和流程被执行应对一个可以感知的威胁或风险,而不是基于回归到一个整体的框架。所采纳的框架(如ISO 27001标准,COSO,COBIT等等)往往只是被选择性的应用。

简单地说,自下而上是一种战术方法,而自上而下是一种战略方法。

一个好的首席信息安全官将帮助执行管理层了解信息安全对业务的重要性,让它成为可提高现有流程和操作效率的业务驱动力。当安全和业务流程保持一致 时,成本与效益的关系变得更容易被理清。但是无论多么优秀的首席信息安全官,如果没有同跨组织的各个部门工作的能力,没有让其他利益相关者加入的能力,自 上而下的办法是不可能的。

如果您想维持一定的成本,并实行有效的安全,您需要得到并拥有整体业务战略的支持——即使用自上而下的方法。一个自下而上的方法看起来似乎是有效的,但实际上它是非常低效率的。

security-for-business-success

信息数据管理不善将业务推向风险边缘

据信息安全意识培训服务公司昆明亭长朗然科技有限公司的一项调查表明:大多数的高层经理们并不清楚公司的敏感数据如何存储的,更没有清晰的数据访问安全政策。

这就将公司持续运作所赖以的关键信息数据置于严重的毁坏、丢失或曝光可能性之下。在虚拟化、云计算、员工自带计算设备BYOD、以及在线存储服务日益普及的时代,公司IT服务部门已经无法继续沿用传统的内部信息系统集中控管商业数据的方法,而作为商业数据“所有者”的各业务部门经理主管们对信息安全保护的重要性认知水平可能并不够,当数据在外、内部IT环境和控管措施无法对其实施足够的安全保护之时,数据安全问题变得日益严峻。

好在商业信息化流程的变革或创新不是一天所能达成的,云计算和移动应用的优势明显,公司无疑应该积极采用, 以便在提升产品质量、产能、效率等等的同时促进科技创新和降低成本开支。问题在于对公司数据向外流动时的安全控管,多数业务部门的经理们并非云计算或在线存储安全方面的专家,他们更关注变更能证明短期的业绩获得了提升,当然这些并没有错,只是如果没有足够的安全保障,可能会为日后长远的商业成长埋下地雷。

近期,大量的互联网公司亏本做智能手机,除却通过利用入口和应用来争抢互联网用户之外,加强用户粘性,通过获取和分析用户的使用行为和习惯,提供定制化高命中率的广告服务,以便获取更多商业利益才是实质。

所以,除了这些做智能终端的互联网公司,也有不少其它互联网公司开始提供在线存储和远程数据同步。远程数据同步对于终端用户来讲的好处在于异地备份,和随时随地取用。然而,多数终端用户没能注意到的是在线数据存储服务商将如何对待这些数据的条款以及这些条款的意味:首先,服务商肯定会去读取它们;其次,除了收费的服务之外,服务商多不会为在线数据的安全性负责。黑客对数据的恶意篡改、非授权的数据访问、由于意外而造成的数据丢失等等,没有人会负责。可是,数据安全问题,用户可是伤不起。

“通常云计算服务厂商并不想伤害用户,但是谁都不能打包票不出商业毁坏或泄露等等的安全意外。”亭长朗然公司的云计算安全研究员Charles Liu说:“各类型的组织机构可得清醒过来了,将IT应用和数据从传统的内部IT网络中迁移到基于互联网的云计算,可以降低成本和增强商业竞争力,但是组织需要保有足够的安全控管能力。”

首先,选择重视客户数据安全保护的服务商,这些服务商往往会通过了相关的IT服务管理认证和信息安全管理体系认证。

其次,仔细阅读和了解相关的数据安全保护条款,并结合组织的实际情况,选择合适的数据存储、数据安全服务的项目和内容。

再次,同服务商以及云计算系统及数据的用户建立适当的数据访问控制管理流程,如数据分级、加密存储、权限审批、访问控制、访问审核、灾备方案等等。

最后,加强对各级业务部门经理主管以及基层员工进行安全意识培训,让他们了解和认识基本的信息数据安全保护常识,掌握工作相关的数据安全保护措施和流程,在最终用户可以随时随地获得相关数据的时代,这一点尤其必要。

简单总结一下,业务的成功越来越信赖信息化这一核心竞争力,而信息化的核心在于业务应用系统和商业数据,大的趋势之下,应用系统和商业数据将跃至云端,它们的最终用户和所使用的访问终端也是远处不在,安全控管也需要从传统的内网和边界迁移至云端及终端,针对终端用户的安全意识培训比以往任何时候都要紧要。