讓安全成為企業(yè)功能的一部分

引言：企業(yè)中的風(fēng)險無處不在，并會以多種方式影響到企業(yè)運行。如果IT想真正地減輕風(fēng)險并避免問題，業(yè)務(wù)和IT團(tuán)隊就需要協(xié)同工作，加強(qiáng)交流。保障公司安全的首要一步就是，確保所有部門中的雇員都理解自己在風(fēng)險管理過程中的作用。為有助于解決問題，公司需要使信息安全成為一種需要優(yōu)先考慮的影響業(yè)務(wù)質(zhì)量的問題，并且理解信息安全并不是簡單地由技術(shù)解決的問題。

企業(yè)中的風(fēng)險幾乎無處不在，并會以多種方式影響到企業(yè)運行。如果IT想真正地減輕風(fēng)險并避免問題，業(yè)務(wù)和IT團(tuán)隊就需要協(xié)同工作，加強(qiáng)交流。保障公司安全的首要一步就是，確保所有部門中的雇員都理解自己在風(fēng)險管理過程中的作用。

為有助于解決問題，公司需要使信息安全成為一種需要優(yōu)先考慮的影響業(yè)務(wù)質(zhì)量的問題，并且理解信息安全并不是簡單地由技術(shù)解決的問題。公司需要確保風(fēng)險是一個優(yōu)先考慮的問題，并且將其包含在每一個策略和過程中，從而在最大程度上減輕風(fēng)險。

理解風(fēng)險

在業(yè)務(wù)和IT團(tuán)隊的會話開始之后，企業(yè)就可以著手確定風(fēng)險的定義，并將其擴(kuò)展到整個企業(yè)。

首要的一步，是理解風(fēng)險和安全實際上是業(yè)務(wù)問題，而不是軟件或技術(shù)問題。為此，企業(yè)不妨考慮站在IT之外看安全，將安全從IT中遷移出來，并使其成為企業(yè)功能的一部分。利用這種方法，企業(yè)就可以查明風(fēng)險，而IT也可以部署軟件和技術(shù)，從而使這些風(fēng)險最小化。終極的安全和風(fēng)險責(zé)任必須在業(yè)務(wù)線上確立。業(yè)務(wù)線上的員工必須負(fù)有最終責(zé)任，正是這些人將開發(fā)、運營、安全人員招集到一起解決其產(chǎn)品、服務(wù)以及最終的業(yè)務(wù)安全問題。

建議企業(yè)準(zhǔn)備好業(yè)務(wù)培訓(xùn)項目，從而使安全和運營人員可以全面深入地理解其產(chǎn)品、服務(wù)、顧客、競爭者、市場。然后，企業(yè)可以利用培訓(xùn)和教育資源來確保每個人都專注于保護(hù)業(yè)務(wù)。這樣做還可以促進(jìn)社交協(xié)作項目，其中業(yè)務(wù)線的雇員與IT雇員可以更好地交流，并就如何管理風(fēng)險交換意見。

不遵循基于風(fēng)險的方法招致的危險

如果沒有準(zhǔn)備好一套適當(dāng)?shù)娘L(fēng)險管理策略，公司就會面臨大量的潛在問題，因而在不同方面影響到企業(yè)和業(yè)務(wù)。例如，不管理風(fēng)險的最明顯和最基本的結(jié)果就是經(jīng)濟(jì)損失，其表現(xiàn)形式可能是業(yè)務(wù)損失、喪失客戶信任、無法在最后期限交付產(chǎn)品或服務(wù)、被競爭者擊潰等。經(jīng)濟(jì)損失還會導(dǎo)致品牌認(rèn)可度和信任的丟失。如果攻擊者攻擊了公司并竊取了信息，公司的聲譽(yù)和品牌將遭受沉重打擊。除了經(jīng)濟(jì)損失和商譽(yù)損失，你還要考慮由于不正確的風(fēng)險管理而導(dǎo)致的故障會影響到工作團(tuán)隊。由于風(fēng)險的發(fā)生造成的故障會促使企業(yè)采取大量行動，從而影響到公司的效率。所以，公司中的每個人不管其職位如何，都應(yīng)當(dāng)持續(xù)地關(guān)注風(fēng)險。

風(fēng)險管理的概念建立在這個觀念的基礎(chǔ)上：你做出的每一個決策、部署的每個策略、實施的每個方案都應(yīng)當(dāng)是為了以某種方式來減輕風(fēng)險。即使你認(rèn)為有些問題就如搭一條電話線一樣簡單，企業(yè)在部署這種技術(shù)時也要避免客戶或顧客無法聯(lián)系的風(fēng)險。這聽起來也許簡單明確，但是不將風(fēng)險管理作為業(yè)務(wù)過程的一部分就會使企業(yè)易于遭受攻擊、數(shù)據(jù)泄露或其它安全風(fēng)險。例如，如果貴公司屬于健康保健行業(yè)，而公司又沒有部署DLP（數(shù)據(jù)泄露預(yù)防）系統(tǒng)，公司就有可能存在你并不了解的漏洞。數(shù)據(jù)泄露并不總是以病毒竊取信息或某人攻擊企業(yè)系統(tǒng)和查看敏感數(shù)據(jù)為表現(xiàn)形式。數(shù)據(jù)泄露有時也可能是人為錯誤的結(jié)果。所以，筆者建議無論是什么項目或過程，公司都要牢記風(fēng)險觀念。

你的一切操作都應(yīng)當(dāng)是為了減輕風(fēng)險。你面臨風(fēng)險就必須減輕風(fēng)險，并創(chuàng)建一種控制。然后，就需要審計和測試，看看這種控制是否可以減輕風(fēng)險。如果控制并不能與風(fēng)險實現(xiàn)關(guān)聯(lián)，你實施控制有何意義呢？而這正是采用基于風(fēng)險的方法所招致的安全問題。

需要考慮的技術(shù)和策略

在確立了大方向和概念后，就可以關(guān)注一些有助于風(fēng)險管理過程的技術(shù)。有些公司使用調(diào)查工具從雇員得到關(guān)于哪些系統(tǒng)、過程或潛在的問題使其憂心忡忡的反饋。員工們會向公司反饋一些事實和材料，而你作為管理員只需將這些材料整理一下，并著手探查那些要求你關(guān)注的領(lǐng)域，然后再考慮使用什么技術(shù)。

例如，如果公司必須考慮合規(guī)問題，你可能需要實施GRC（治理風(fēng)險合規(guī)）平臺來監(jiān)視工作流程和進(jìn)行事件管理，并在整個過程中實施跟蹤。你還可以發(fā)現(xiàn)一些包含財務(wù)處理和安全事務(wù)監(jiān)視的GRC平臺，這可以使你深入地監(jiān)視企業(yè)和潛在的風(fēng)險。這些GRC平臺根據(jù)行業(yè)的不同而不同，還有一些平臺卻可以使企業(yè)用于應(yīng)對各種潛在的問題。

但軟件并不能解決一切問題。如果企業(yè)部署了風(fēng)險管理系統(tǒng)，內(nèi)部卻沒有人可以驗證或理解如何使用這種系統(tǒng)，那么企業(yè)未必可以收獲其真正的價值。對有些公司來說，IT部門有著舉足輕重的地位,公司都需要強(qiáng)大的QA（質(zhì)量保證）功能以及一套結(jié)構(gòu)化的程序質(zhì)量標(biāo)準(zhǔn)，并且在開發(fā)、測試、生產(chǎn)過程的整個階段都進(jìn)行檢查。

還要強(qiáng)調(diào)將QA作為業(yè)務(wù)連續(xù)性過程的一部分，其中還可能涉及到你對基礎(chǔ)架構(gòu)做出改變時會發(fā)生的問題。你必須能夠評估這些改變對運營或應(yīng)用程序或?qū)χ卮髽I(yè)務(wù)過程的改變，評估這些改變影響到公司從問題中恢復(fù)的能力，例如，軟件或服務(wù)器的故障，或是存儲陣列空間不足，或是一個與數(shù)據(jù)中心有關(guān)的重大問題，或是斷電問題。