企業(yè)要做好安全遵從的五個實用技巧

2013-09-22 14:24:21 it168網(wǎng)站原創(chuàng) 作者：歐雪娥/譯　點擊量：評論 (0)

【IT168 編譯】如今在很多的企業(yè)或組織中，數(shù)據(jù)安全和規(guī)范管理已經(jīng)成為一個很重要的問題，雖然企業(yè)制定了很多需要遵守的規(guī)范和準則，但數(shù)據(jù)泄漏和安全威脅依然來勢洶洶，它們在IT治理、風險管理及合規(guī)審查(IT

【IT168 編譯】如今在很多的企業(yè)或組織中，數(shù)據(jù)安全和規(guī)范管理已經(jīng)成為一個很重要的問題，雖然企業(yè)制定了很多需要遵守的規(guī)范和準則，但數(shù)據(jù)泄漏和安全威脅依然來勢洶洶，它們在IT治理、風險管理及合規(guī)審查(IT GRC)世界中演繹了一場完美風暴。

　　雖然GRC具有很高的復雜性，但還是有很多組織依然在用“豎井”方式(即孤立的、不與他人聯(lián)系的方式)在管理風險。可是，每個項目都有不同的方法和解決方案，這就導致了不同項目之間存在著一定的矛盾。如果對于風險和規(guī)范的認識不到位的話，將會阻礙決策的制定，另外可能還會因為重復性工作導致預算的超支。

　　然而，隨著越來越多的違規(guī)事件被目標組織之外的同行揭露，發(fā)現(xiàn)一個數(shù)據(jù)外泄事件的平均時間還在繼續(xù)延長。與此同時，先進的網(wǎng)絡攻擊也擴大了攻擊范圍，已經(jīng)超越了一般的黑客，我們知道，黑客僅僅是為了財務收益而作為網(wǎng)絡間諜，來竊取知識產(chǎn)權(quán)或內(nèi)幕消息。

　　可不幸的是，網(wǎng)絡攻擊的目標是所有的組織，不僅僅是政府、軍隊和高效益的公司。因此，對于那些缺少防范工具、人員和遠見性的公司來說，要發(fā)現(xiàn)、分析或組織、、阻止IT安全漏洞，實現(xiàn)GRC管理，這的確是個噩夢。

　　在這兩方面，岱凱和Check Point軟件技術(shù)這兩家公司已經(jīng)合作開發(fā)出了一個GRC方案，把IT安全和規(guī)范一體化。

　　據(jù)Gartner調(diào)查，面對任何一項管理挑戰(zhàn)，選擇個性化解決方案的公司，與那些具有前瞻性、使用綜合解決方案的公司相比，將多花費10倍的開銷。

　　規(guī)范性應該是風險管理的產(chǎn)物，而不是通常而言的規(guī)范要求。Gartner的研究總監(jiān)約翰惠勒說：“首席信息官必須要避免成為規(guī)則的追隨者，不能讓規(guī)范支配商業(yè)決策，在解決企業(yè)面臨的嚴重威脅時，要主動成為風險領導者”。

　　以下就是采取這種方法需要注意的幾點：

　　1.把利益相關(guān)者和組織架構(gòu)統(tǒng)一起來

　　IT安全是企業(yè)戰(zhàn)略和經(jīng)營目標中不可分割的部分，Check Point公司已經(jīng)明確了管理多個GRC進程，也稱之為“GRC模型”的關(guān)鍵步驟，這些步驟包括建立一個統(tǒng)一的組織架構(gòu)，使得由于錯誤的風險和控制計算而產(chǎn)生的錯誤評估值降到最低。同時，GRC項目研究小組應該對利益相關(guān)者進行一下整合，包括終端用戶。另外，關(guān)鍵的利益相關(guān)者應該從高層管理部門那里獲得支持，當實施GRC軟件時，也應該咨詢一下這些利益相關(guān)者。

　　2.保證通信暢通，并鼓勵參與

　　定義一個共同的GRC術(shù)語，那樣的話熟悉組織業(yè)務的GRC團隊就能有效建立和交流實施措施。此外，風險和規(guī)范的參與者應該是友好的、有幫助的。比如，在GRC評測期間，岱凱的GRC服務通過使用基于度量的業(yè)務語言，加強了所有利益相關(guān)者之間的交流，員工也從中獲得了很有用的信息。

　　3.制定一個目標確定的計劃

　　在自己所處的位置上進行風險評估，來確定當前和未來的GRC需求，岱凱公司的GRC評估服務幫助組織回顧現(xiàn)存的處理策略，明確關(guān)鍵的風險、資產(chǎn)和缺口，建立IP風險與合規(guī)指標。我們相信該服務的成功指日可待，這個指標可以用來明確當前的安全規(guī)范水平，還有未來所期望達到的高度;讓IT安全伴隨著整個組織，發(fā)現(xiàn)技術(shù)部署上、活動進程上和安全控制上以及其他的收益活動上的矛盾。

　　4.實用和具有效益的改進計劃

　　在評估和分析完風險之后，要根據(jù)GRC孰輕孰重來實現(xiàn)近期和長期的目標。岱凱公司采取了成本效益和戰(zhàn)略風險評估策略，考慮固有風險而進行選擇性投資。對核心的業(yè)務流程有一個比較全面的了解，這將有助于一個組織把現(xiàn)有的政策轉(zhuǎn)化為規(guī)則、參考，甚至是標準，并確定現(xiàn)有的控件和框架，以便重復使用在新的工作中。此外，計劃未來變化也是為了實現(xiàn)安全目標。

　　5.流線型風險和控制

　　為了避免不必要的風險和控制開銷，GRC團隊需要理解風險和控制之間的多對多關(guān)系，明確那些與條規(guī)共享的風險和控制獨有的屬性特征。通過識別風險、控件與GRC進程間控件的依賴關(guān)系、鏈接和多級層次結(jié)構(gòu)，來盡量減少控件的重復性工作。不同進程之間的信息共享也將在系統(tǒng)和定位件之間形成最佳實踐標準。

　　岱凱公司在GRC審計中，完成了在所有的利益相關(guān)者之間有效實現(xiàn)工作流程的自動化。其間，利益相關(guān)者能夠意識到威脅，并申請使用公用語言來描述這些缺陷，然后評估商業(yè)影響力和響應度，把任務合理分配給個人或團隊，并且監(jiān)視任務的完成。最后還要跨團隊、商業(yè)領域和地理位置，來分享知識經(jīng)驗，讓風險和規(guī)范活動清晰化。