日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

我們將在海灘作戰(zhàn)。我們將在敵人的登陸點(diǎn)作戰(zhàn)。我們將在田野和街巷作戰(zhàn)。我們將在山區(qū)作戰(zhàn)。我們決不投降，”這是英國(guó)著名首相溫斯頓·丘吉爾于1940年6月在面對(duì)納粹德國(guó)對(duì)英國(guó)可能發(fā)動(dòng)的進(jìn)攻時(shí)所作的著名演講的片段。而在此前的另一次著名演講中，他更聲稱，我們的目標(biāo)只有一個(gè)，那就是勝利，而“不論前路如何漫長(zhǎng)、如何艱苦?！边@對(duì)于企業(yè)所面對(duì)的安全戰(zhàn)斗來(lái)說(shuō)，可以說(shuō)是一個(gè)非常適切的類(lèi)比。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、重慶小程序開(kāi)發(fā)公司、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了天鎮(zhèn)免費(fèi)建站歡迎大家使用！

網(wǎng)絡(luò)犯罪分子們?nèi)缃駸o(wú)處不在，而且狡猾詭詐，無(wú)孔不入。所以當(dāng)客戶、投資人和監(jiān)管者們期待安全人員能夠全面保護(hù)組織和機(jī)構(gòu)的寶貴資產(chǎn)以及隱私時(shí)，我們卻很難做到像丘吉爾那樣樂(lè)觀，尤其是我們本應(yīng)該仰仗的一些政府部門(mén)和廠商，也在私下?lián)p害著我們的數(shù)據(jù)、軟件和網(wǎng)絡(luò)。

捍衛(wèi)安全的戰(zhàn)爭(zhēng)比以往任何時(shí)候都更加嚴(yán)峻。大多數(shù)組織還是在用昨天的工具和方法對(duì)抗著今天的敵人——他們徒勞地用密碼和防火墻防護(hù)著企業(yè)的邊界，這種做法是注定要失敗的。他們過(guò)分強(qiáng)調(diào)了數(shù)據(jù)與系統(tǒng)的隔離，還在錯(cuò)誤地認(rèn)為只要邊界安全就足夠了。

而我們與數(shù)十位安全專(zhuān)家、業(yè)界專(zhuān)家以及企業(yè)高管們的深度交流，卻揭示出了一個(gè)更適用于今日安全的架構(gòu)。

聚焦風(fēng)險(xiǎn)和人 少關(guān)注設(shè)備和數(shù)據(jù)

更好的防范方法應(yīng)圍繞風(fēng)險(xiǎn)意識(shí)來(lái)構(gòu)建。最大的風(fēng)險(xiǎn)就是關(guān)鍵或敏感數(shù)據(jù)的丟失，所以我們必須對(duì)數(shù)據(jù)提供充分的保護(hù)。然而除此之外，還存在著其他諸多的風(fēng)險(xiǎn)，例如業(yè)務(wù)中斷、名譽(yù)受損、監(jiān)管缺失、投資風(fēng)險(xiǎn)，以及知識(shí)產(chǎn)權(quán)被盜，等等。哪些危險(xiǎn)對(duì)企業(yè)的傷害最大?如何評(píng)估這些威脅?怎樣才能根據(jù)影響最大到最小的順序防范這些威脅?很顯然，僅僅保護(hù)邊界是無(wú)法解決這些問(wèn)題的。

舉個(gè)例子，Visa國(guó)際要負(fù)責(zé)對(duì)其所有信用卡處理流程的風(fēng)險(xiǎn)評(píng)估，包括但不限于對(duì)這些業(yè)務(wù)流程的技術(shù)支持。Visa負(fù)責(zé)信息安全、治理、風(fēng)險(xiǎn)及合規(guī)的前任副總裁喬治·托特夫說(shuō)：“所謂風(fēng)險(xiǎn)，就是薄弱之處遇到了攻擊。所以，用全局觀去看待風(fēng)險(xiǎn)，才能為安全防范奠定堅(jiān)固基礎(chǔ)。”

風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)防范的模式會(huì)因行業(yè)和企業(yè)的不同而有所不同。有些模式可能需要用到技術(shù)，有些可能需要改變流程，還有一些模式則有可能要求改變?nèi)说男袨椤３鲇诤弦?guī)性需要，有些企業(yè)除了自身的風(fēng)險(xiǎn)分析之外，還不得不處理其他一些形式的安全風(fēng)險(xiǎn)。此時(shí)的重點(diǎn)就成了如何才能在不會(huì)對(duì)企業(yè)的運(yùn)營(yíng)、財(cái)務(wù)或戰(zhàn)略帶來(lái)不必要負(fù)擔(dān)的情形下，有效地滿足合規(guī)性要求。

無(wú)論一家企業(yè)的風(fēng)險(xiǎn)哲學(xué)以及外部要求是什么，選擇并關(guān)注最高級(jí)別的風(fēng)險(xiǎn)都是最實(shí)際的。

但是，如何才能關(guān)注這些風(fēng)險(xiǎn)呢?大多數(shù)企業(yè)，以及安全廠商們，都把安全視為一種技術(shù)上的挑戰(zhàn)。它們一味地尋求能夠降低風(fēng)險(xiǎn)的軟件、硬件和服務(wù)識(shí)別功能，卻忽略了對(duì)人的關(guān)注——實(shí)際上正是人在創(chuàng)建和使用需要受保護(hù)的信息。事實(shí)上，很多組織恰恰把人的因素排除在了安全架構(gòu)之外，因?yàn)樗鼈冏畈恍湃蔚木褪侨恕?/p>

對(duì)安全而言，不存在一招制敵的技術(shù)手段。而將人的因素剔除出安全架構(gòu)，也只會(huì)導(dǎo)致人對(duì)安全的怠惰和漠不關(guān)心。人們會(huì)很自然地認(rèn)為，出了安全問(wèn)題，責(zé)任全在IT。今天的安全戰(zhàn)略為什么必須將主要的防范重點(diǎn)從設(shè)備轉(zhuǎn)向人，這就是原因。今天，所有成功的網(wǎng)絡(luò)攻擊，不論是采用社會(huì)工程學(xué)如釣魚(yú)手法，還是對(duì)自動(dòng)售貨機(jī)硬件的物理攔截，都肯定會(huì)牽扯到人。

安全其實(shí)是關(guān)乎風(fēng)險(xiǎn)的一場(chǎng)動(dòng)態(tài)游戲——換句話說(shuō)，當(dāng)魔高一尺時(shí)，你能否道高一丈?“動(dòng)態(tài)”和“游戲”這兩個(gè)詞是彼此相關(guān)聯(lián)的。安全同樣遵循熵的定律：如果能量無(wú)法補(bǔ)充，遲早都會(huì)耗盡。因此，我們需要常態(tài)化的警覺(jué)。而游戲心態(tài)對(duì)于保持主動(dòng)和自適應(yīng)的警覺(jué)來(lái)說(shuō)至關(guān)重要。

說(shuō)到底，每一個(gè)新的防范措施都會(huì)很快遭遇一輪新的攻擊伎倆的挑戰(zhàn)。這正是人類(lèi)最擅長(zhǎng)的游戲。所以企業(yè)應(yīng)該鼓勵(lì)自己的人員充分發(fā)揮人類(lèi)的能力，而不應(yīng)將他們排除在防范措施之外。

企業(yè)還需要時(shí)刻洞察制造威脅的那些人的心態(tài)。既然他們是在游戲你的員工，那你當(dāng)然也得游戲他們，因此企業(yè)的員工需要主動(dòng)參與進(jìn)來(lái)作你的耳目，而不能作耳聾目盲的用戶。

簡(jiǎn)言之，不要把自己人當(dāng)成問(wèn)題去限制，而是要讓他們參與到安全解決方案中來(lái)。#p#

新安全模式的五個(gè)維度

盡管我們距離完美的安全狀態(tài)相距甚遠(yuǎn)，但已有足可信賴的一些新模式開(kāi)始出現(xiàn)，允許企業(yè)進(jìn)行必要的調(diào)整。新模式作的是加法。在有最高風(fēng)險(xiǎn)的領(lǐng)域必須繼續(xù)實(shí)行最佳實(shí)踐，同時(shí)在改進(jìn)的防御方案中將風(fēng)險(xiǎn)和人的因素結(jié)合起來(lái)。

新的模式具有以下五個(gè)維度：

1. 讓IT只聚焦于核心的關(guān)鍵資產(chǎn)。
2. 用多層級(jí)防御系統(tǒng)保護(hù)關(guān)鍵資產(chǎn)。
3. 鼓勵(lì)人們使用信息技術(shù)保護(hù)與工作相關(guān)的資產(chǎn)。
4. 與業(yè)務(wù)合作伙伴一起改進(jìn)彼此的免疫系統(tǒng)。
5. 讓安全成為業(yè)務(wù)問(wèn)題而非IT問(wèn)題。

1. 讓IT只聚焦于核心的關(guān)鍵資產(chǎn)

完美的安全是不可能的。要想一視同仁地保護(hù)所有資產(chǎn)的安全也是不可持續(xù)的。

因此基于風(fēng)險(xiǎn)的“盡力而為”方法才是比較合理的。要將企業(yè)的優(yōu)勢(shì)力量用于對(duì)業(yè)務(wù)最具價(jià)值和有最大影響的所在。如此一來(lái)，也就自然分出了風(fēng)險(xiǎn)的優(yōu)先防御級(jí)別。對(duì)于早就熟悉業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的CIO[注]和其他IT負(fù)責(zé)人來(lái)說(shuō)，這并不陌生。

確定組織里最有價(jià)值的資產(chǎn)是非常重要的，但這也經(jīng)常會(huì)引起爭(zhēng)議。一些組織認(rèn)為數(shù)據(jù)是最有價(jià)值的資產(chǎn)，需要保護(hù)。但是如果風(fēng)險(xiǎn)涉及到一組資產(chǎn)(數(shù)據(jù)、軟件、網(wǎng)絡(luò)和人員等)時(shí)，就很顯然需要更多地思考對(duì)多種資產(chǎn)的滲透和攻擊。

而在今天的企業(yè)信息安全領(lǐng)域中，對(duì)企業(yè)的信息資產(chǎn)進(jìn)行分類(lèi)以便確定風(fēng)險(xiǎn)等級(jí)的想法卻是最少見(jiàn)的因素。

這種基于風(fēng)險(xiǎn)的安全方法實(shí)現(xiàn)起來(lái)并不容易，對(duì)很多組織來(lái)說(shuō)，它需要思想上的一次大的變化。當(dāng)然，促成這樣的變化有一個(gè)很好的理由：資產(chǎn)儲(chǔ)備越多，規(guī)則越復(fù)雜，要保護(hù)這些資產(chǎn)就會(huì)越困難。而一個(gè)更專(zhuān)注且復(fù)雜性較少的方法自然能夠更好地平衡風(fēng)險(xiǎn)和效益，讓組織能夠?qū)崿F(xiàn)必要的安全保護(hù)。#p#

2. 用多層級(jí)防御系統(tǒng)保護(hù)關(guān)鍵資產(chǎn)

任何想要實(shí)現(xiàn)百分百防御的方法都是注定會(huì)失敗的。因?yàn)闆](méi)有什么方法可以確保某個(gè)事物的絕對(duì)安全，所以我們要尋求彈性更大而不是絕對(duì)安全的方法。要認(rèn)識(shí)到防御必須利用多種要素方可構(gòu)建。

一個(gè)更好的安全模式就是生物系統(tǒng)，因?yàn)樯锟梢詮母腥净騻粗凶孕谢謴?fù)過(guò)來(lái)。生物系統(tǒng)會(huì)對(duì)首先被感染到的細(xì)胞進(jìn)行隔離，從而限制更大范圍的系統(tǒng)感染。生物系統(tǒng)自我假設(shè)風(fēng)險(xiǎn)會(huì)不斷演進(jìn)，而且可能會(huì)隨時(shí)發(fā)動(dòng)攻擊。所有這些原則也都可適用于保護(hù)企業(yè)業(yè)務(wù)安全的技術(shù)和業(yè)務(wù)實(shí)踐。

企業(yè)也應(yīng)假設(shè)自身時(shí)刻會(huì)受到損害，然后圍繞這一假設(shè)來(lái)制定戰(zhàn)略。如今，大多數(shù)企業(yè)都很明白，自己早已受到了傷害，這些傷害來(lái)自犯罪分子、競(jìng)爭(zhēng)對(duì)手，或者政府部門(mén)。同時(shí)也要清楚，存在著很多的感染源，這些感染源包括但不限于數(shù)據(jù)中心、PC，或者移動(dòng)設(shè)備。

絕大多數(shù)生物系統(tǒng)還會(huì)使用冗余的手段。安全措施也需如此。英特爾公司CIO金·史蒂文森描述了該公司基于這一原則而采用的很有效的三層模式。

利用只讀或者有隔斷的容器進(jìn)行分層防護(hù)的方式是很有意義的，這就像一般人會(huì)把珍貴的珠寶鎖在家中，或者將愛(ài)車(chē)鎖在車(chē)庫(kù)中一樣。用這樣的方法，再結(jié)合一些基本的防護(hù)手段，例如密碼和登錄口令等，這就跟在你離開(kāi)家的時(shí)候要鎖上門(mén)，然后設(shè)置好警報(bào)系統(tǒng)一樣。

針對(duì)軟件的多層防御系統(tǒng)需要較多地依賴人工檢查與軟件掃描相結(jié)合，來(lái)確認(rèn)各種漏洞?？梢岳靡恍┘夹g(shù)，如風(fēng)險(xiǎn)分析和同業(yè)代碼評(píng)估，或者使用可檢查漏洞的商業(yè)軟件等，從而將安全嵌入到軟件開(kāi)發(fā)的生命周期中去。目前，還沒(méi)有可檢查出所有漏洞的單一軟件包，所以必須利用多種不同的威脅識(shí)別軟件包，進(jìn)行多次掃描，再加上人工檢查。Visa前任安全官托列夫說(shuō)：“最好在設(shè)計(jì)階段就處理好各種漏洞，這要好于事后補(bǔ)救?！?/p>

要了解如何查找漏洞，一個(gè)很不錯(cuò)的資源就是開(kāi)放web應(yīng)用安全項(xiàng)目(OWASP)，這是一個(gè)非盈利組織，可提供對(duì)各種漏洞的洞察，并提出解決建議。

一個(gè)很關(guān)鍵的層就是身份管理。有好幾種技術(shù)可以實(shí)現(xiàn)這一點(diǎn)，可幫助用戶和系統(tǒng)跨越各種不同的障礙。到底需要設(shè)置多少身份檢查點(diǎn)，與風(fēng)險(xiǎn)分析直接相關(guān)。當(dāng)然，還可以使用隔離手段，限制損害的進(jìn)一步蔓延。

身份認(rèn)證與隔離相結(jié)合的一個(gè)例子就是Saleforce.com。它使用雙要素認(rèn)證兩次，才允許用戶訪問(wèn)其生產(chǎn)環(huán)境，因?yàn)槿绻腥巳肭至诉@里，后果可能非常嚴(yán)重。為了進(jìn)入一個(gè)可信任環(huán)境，每個(gè)用戶必須首先符合雙要素認(rèn)證，然后再符合另一個(gè)不同的雙要素認(rèn)證，才能通過(guò)一臺(tái)沒(méi)有數(shù)據(jù)可以移動(dòng)或復(fù)制的啞終端進(jìn)入運(yùn)營(yíng)環(huán)境。而在訪問(wèn)郵件時(shí)則采用了不同的認(rèn)證標(biāo)準(zhǔn)，因?yàn)閮烧叩娘L(fēng)險(xiǎn)程度是不同的。

如果將其用于數(shù)據(jù)本身，身份管理可能會(huì)更有效。在信息化層面實(shí)施DRM(數(shù)字版權(quán)管理)可以將這種技術(shù)提升到一個(gè)新的保障水平——但這也只有在可以用標(biāo)準(zhǔn)方式進(jìn)行部署時(shí)才有可能?？煽康纳矸菰倨ヅ渖弦恢滦院涂蓴y帶許可，將會(huì)大大減少對(duì)信息的不適當(dāng)訪問(wèn)，即便是在設(shè)備和網(wǎng)絡(luò)遭到破壞時(shí)也可以如此。#p#

3. 鼓勵(lì)人們使用信息技術(shù)保護(hù)與工作相關(guān)的資產(chǎn)

有些最為復(fù)雜的威脅來(lái)自社會(huì)工程學(xué)攻擊，壞分子們往往利用社交媒體和郵箱聯(lián)系人入侵到一些毫無(wú)戒心的用戶終端里，他們尤其會(huì)針對(duì)企業(yè)高管和關(guān)鍵的業(yè)務(wù)運(yùn)營(yíng)人員下手。從這里，他們會(huì)蓄意地、悄悄地評(píng)估企業(yè)的安全規(guī)則，以及業(yè)務(wù)時(shí)如何依據(jù)安全規(guī)則運(yùn)轉(zhuǎn)的。不知不覺(jué)間，你就成了壞分子與員工及業(yè)務(wù)合作伙伴之間的利用媒介了。

既然人常常被當(dāng)作入侵的管道，自然也可以成為防御的前沿。我們不能再像過(guò)去二十年間標(biāo)準(zhǔn)的IT模式所做的那樣，把人自動(dòng)排除在安全流程之外了。前PC時(shí)代“把緊口風(fēng)”的管理風(fēng)格今天仍然是有效的，它能讓保障企業(yè)安全成為每個(gè)員工的義務(wù)和責(zé)任，它將再次成為現(xiàn)代信息安全的核心部分。它不僅能幫助個(gè)人避免危險(xiǎn)的泄密行為，還能讓企業(yè)擁有更多的耳目，可以觀察什么地方出了差錯(cuò)。

把人帶回到安全架構(gòu)中之后，自然不能忽略了對(duì)員工的培訓(xùn)，提高其安全意識(shí)。人總是會(huì)將他們所學(xué)的東西用到實(shí)踐中去。美國(guó)長(zhǎng)島大學(xué)就是一個(gè)很好的例子。幾年前該大學(xué)啟動(dòng)了一個(gè)安全意識(shí)主動(dòng)一致性計(jì)劃，希望從PC向iPad、移動(dòng)應(yīng)用和云服務(wù)做轉(zhuǎn)移。該大學(xué)因?yàn)橛幸凰t(yī)學(xué)院并且接受聯(lián)邦政府的貸款，所以必須符合HIPAA(醫(yī)療電子交換法案)和FRCP(聯(lián)邦民事訴訟法案)的規(guī)定，結(jié)果該大學(xué)的CIO[注]喬治·巴羅蒂發(fā)現(xiàn)，由于上述安全意識(shí)計(jì)劃的提前實(shí)施，他們可以很輕松地應(yīng)對(duì)這些嚴(yán)苛的合規(guī)性要求。這其中的差異就在于，現(xiàn)在的IT架構(gòu)鼓勵(lì)所有的學(xué)生和教職員成為合規(guī)意識(shí)的參與者，而不是只要求技術(shù)開(kāi)發(fā)人員符合監(jiān)管要求。

有些行業(yè)已經(jīng)想出了如何讓員工在實(shí)現(xiàn)關(guān)鍵行為的過(guò)程中成為積極參與者的辦法。因?yàn)槿颂焐拖矚g玩游戲，那么為員工創(chuàng)造游戲化的獎(jiǎng)勵(lì)措施，以使其避免威脅或檢查威脅，可以作為一種非常有效的防御攻擊的手段。利用改進(jìn)了的質(zhì)量管理方法，有些企業(yè)已經(jīng)采取了一些游戲化技術(shù)，例如定期公布員工的無(wú)事故天數(shù)，營(yíng)造一個(gè)人人皆有安全意識(shí)，并樂(lè)于采取更安全行為的主動(dòng)參與環(huán)境。令人高興的是，假如員工通過(guò)了篩查、培訓(xùn)和監(jiān)督后，被認(rèn)為是值得信任的話，那么其他一些眾所周知的較低風(fēng)險(xiǎn)甚至?xí)兊酶汀?/p>

一個(gè)好消息是，CIO/CSO/普華永道的調(diào)查顯示，擁有以人為本的安全方法的企業(yè)比例占了相當(dāng)大的份額，即便這些方法可能還算不上是一種整體性的、全企業(yè)范圍的方法。不過(guò)，全景式的方法對(duì)于成功來(lái)說(shuō)是非常關(guān)鍵的，因?yàn)橹挥挟?dāng)企業(yè)建構(gòu)并部署了一套完整的系統(tǒng)后，業(yè)務(wù)才能順暢地運(yùn)轉(zhuǎn)起來(lái)。#p#

4. 與業(yè)務(wù)合作伙伴一起改進(jìn)彼此的免疫系統(tǒng)

如今，我們生活在一個(gè)充斥著龐雜的數(shù)字信息和業(yè)務(wù)流程的世界里，其中包含著數(shù)不清的各種企業(yè)資源：材料、生產(chǎn)、配送、售后，以及技術(shù)支持等等。無(wú)論你的企業(yè)是在生產(chǎn)有形資產(chǎn)(如汽車(chē)和電子產(chǎn)品)還是在提供服務(wù)(如學(xué)校和醫(yī)院)，都不可能脫離整個(gè)生態(tài)系統(tǒng)。

在過(guò)去十年中，由于外包(提供商、承包商和云服務(wù))、分布式工作、分布式工作場(chǎng)所(分支辦公及家庭辦公)、外包工作場(chǎng)所(如呼叫中心)，以及移動(dòng)辦公等的興起，企業(yè)已經(jīng)變得高度虛擬化了。

身處這樣的現(xiàn)代化數(shù)字生態(tài)系統(tǒng)中，已經(jīng)沒(méi)有可能再圍繞什么東西建起一座隔離墻了。我們現(xiàn)在知道，傳統(tǒng)的防御手段，例如口令、防病毒、入侵檢測(cè)和其他基于簽名的檢測(cè)方法等，幾乎都是沒(méi)有效果的。威脅也已變成了動(dòng)態(tài)的，甚至可以自適應(yīng)的了。手段高超的犯罪分子們可以繞過(guò)用戶設(shè)備的密碼保護(hù)，直接進(jìn)入服務(wù)器或網(wǎng)絡(luò)。而最近大量零售商用戶數(shù)據(jù)被盜的事件，以及斯諾登事件的不斷發(fā)酵，使這種情況變得盡人皆知。就在很多企業(yè)在為iCloud或谷歌云究竟是不是一個(gè)威脅而煩惱不安時(shí)，它們的核心系統(tǒng)其實(shí)早已被深度入侵了。

可以說(shuō)，關(guān)于企業(yè)的內(nèi)、外部的概念已越來(lái)越模糊不清。結(jié)果就是，CIO[注]們的首要問(wèn)題是如何面對(duì)層疊不窮的風(fēng)險(xiǎn)?？蛻羧绻硞€(gè)企業(yè)有接口，或許他們還能信任這家企業(yè)，但是如果再擴(kuò)展到供應(yīng)鏈中的其他企業(yè)時(shí)，這種信任還會(huì)存在嗎?

你可以和供應(yīng)商及業(yè)務(wù)合作伙伴一起將本文所描述的概念運(yùn)用于所有的系統(tǒng)，而不是只運(yùn)用于其中一個(gè)系統(tǒng)。說(shuō)到底，所有系統(tǒng)都會(huì)相互作用，彼此之間的連接會(huì)多到任何人都無(wú)法想象，因此，擁有一個(gè)通用的安全框架可能會(huì)好于擁有多個(gè)安全框架。

分享最佳實(shí)踐也能起到協(xié)同作用。彼此間開(kāi)展積極的合作，其效果會(huì)遠(yuǎn)遠(yuǎn)好于只使用合同上寫(xiě)明的威脅防范措施。

可以想見(jiàn)，來(lái)自企業(yè)的客戶、監(jiān)管機(jī)構(gòu)、投資人和其他人的安全需求會(huì)更多，你需要向他們說(shuō)明自身的安全實(shí)力，或許還需要獨(dú)立測(cè)試來(lái)自這些方面的防御措施。作為這種保障措施的一部分，還需要一份“適用性聲明”，其中應(yīng)詳細(xì)規(guī)定，必須提供哪些安全措施。這跟我們?cè)诒疚闹刑岬降摹鞍踩豢赡苊婷婢愕健钡脑瓌t有關(guān)。盡管這樣一來(lái)，安全的成本會(huì)有所上升，但如果只關(guān)注真正重要的事情，成本應(yīng)該可以控制在合理的水平。

有些企業(yè)會(huì)采取所謂“安全清單”的辦法，詳細(xì)列明他們所遵循的策略，并向合作伙伴解釋哪些信息是必須向監(jiān)管者及客戶提交的。采用這樣的辦法不是因?yàn)樗軌蜻\(yùn)轉(zhuǎn)，而是它可以將司法風(fēng)險(xiǎn)或罰款風(fēng)險(xiǎn)降到最小。這種清單式的方法可以說(shuō)是針對(duì)安全現(xiàn)狀的一種無(wú)奈之舉——是在眼下的周邊安全方法已不適用，但又沒(méi)有更好的替代手段可以使用時(shí)的一種折中策略。

5. 讓安全成為業(yè)務(wù)問(wèn)題而非IT問(wèn)題

信息安全不只是一個(gè)IT問(wèn)題或技術(shù)問(wèn)題，本質(zhì)上其實(shí)是一個(gè)管理問(wèn)題，只是很少有企業(yè)會(huì)這樣對(duì)待它罷了。

一般而言，企業(yè)會(huì)將CIO和CISO視為信息安全的當(dāng)然負(fù)責(zé)人，但是安全責(zé)任會(huì)在更廣的范圍內(nèi)被分擔(dān)。假如損害是由IT部門(mén)以外的個(gè)人行為造成的，那么技術(shù)和安全部門(mén)就不能承擔(dān)責(zé)任。

如今是時(shí)候該考慮整體安全作為演進(jìn)中的信息安全模式了。整體安全需采用多種技術(shù)和管理技巧，推動(dòng)廣泛的參與和問(wèn)責(zé)制，根據(jù)預(yù)估的風(fēng)險(xiǎn)和價(jià)值進(jìn)行分層和調(diào)整。

廣泛的治理是關(guān)鍵，要在整個(gè)組織中采取行動(dòng)并問(wèn)責(zé)，鼓勵(lì)員工、客戶、供應(yīng)商、管理層和董事會(huì)積極參與進(jìn)來(lái)。需要管理風(fēng)險(xiǎn)評(píng)估，積極應(yīng)對(duì)風(fēng)險(xiǎn)，還要能找得出應(yīng)該負(fù)責(zé)的經(jīng)理、員工以及業(yè)務(wù)合作伙伴——不要因IT或安全部門(mén)的技術(shù)失效時(shí)推卸責(zé)任。

舉例來(lái)說(shuō)，營(yíng)銷(xiāo)部門(mén)使用CIO批準(zhǔn)使用的云提供商或商業(yè)分析提供商的服務(wù)，這些提供商的安全能力是否已得到證明?供應(yīng)商是否使用了合規(guī)的安全流程來(lái)訪問(wèn)關(guān)鍵的數(shù)據(jù)?董事會(huì)是否能通過(guò)受保護(hù)的渠道進(jìn)行溝通，或者是否能通過(guò)開(kāi)放環(huán)境下的郵箱來(lái)發(fā)送財(cái)務(wù)以及銷(xiāo)售數(shù)據(jù)附件?(郵件從來(lái)就不安全，而其末尾所附加的所謂法律聲明純屬自我安慰。)

當(dāng)前標(biāo)題：安全新觀察：聚焦風(fēng)險(xiǎn)和人少關(guān)注設(shè)備和數(shù)據(jù)
網(wǎng)頁(yè)路徑：http://www.5511xx.com/article/cdcpeej.html