“我认为传统IT安全有点像希腊神话里的西西弗斯,”中东某金融服务公司信息系统和安全经理J. Wolfgang Goerlich表示,“每天,我们将巨石滚上山,我们尽可能地确保很多系统(或者说巨石)在山顶的安全。一夜之间,新攻击出现了,新漏洞发布了,第二天,一些系统又变得不安全了,我们不得不重新开始将巨石滚上山。”
Goerlich认为,如果安全企业想要改变这种局面,他们必须在他们的决策框架中嵌入风险管理的原则。以下是安全专家总结的IT安全需要风险管理的四个原因:
帮助优先关键系统
Goerlich表示,由于企业信息安全专业人员太少,而需要管理的系统又太多,传统的方法使他们很难决定应该优先哪些系统。
“此外,滚巨石上山并不是安全的目标,其目标是确保企业能完成其使命,”他表示,“风险管理是一项重要的技术,它侧重于确保企业完成其目标,以及优先考虑关键系统。”
Entrust首席技术官Jon Callas表示,风险分析以及基于这种分析的管理能够帮助企业“少花钱多办事”。
他表示:“通过分析威胁类型,以及衡量任何类型安全故障的后果,你能够更好地了解你正在做的工作以及为什么这么做的原因。”
帮助将安全翻译成业务语言
AlienVault公司研究工程师Conrad Constantine表示,风险管理能够让信息安全与整个企业相关联。
他表示:“没有风险管理的安全消耗着企业的资源,并且没有实际作用。”
风险管理的方法并不是安排信息安全人员去抵御最可怕的威胁,而是采用了纯经济的方法,让IT回到实际问题中,即保护企业在信息系统方面的投资。
“你会花2000美元来保护价值2000美元的东西吗?这毫无意义。如果没有风险评估,你无法评估你的风险,因而,你也无法评估你应该花多少钱,”Network Box USA公司首席技术官Pierluigi Stella表示,“适当的风险评估是很重要的,它能够帮助你评估你应该花多少钱。你正在保护什么?它值得你这样做吗?如果你丢失这个信息或者信息落入坏人手中,你的公司会面临怎样的影响?对这些问题进行评估,然后进行管理。”
根据BT Global Services的Bryan Fite表示,风险评估其实有点名不副实。
“它应该被称为风险及奖励管理,因为它关系着企业的业务决策。为了让业务部门了解这些问题,你必须用业务的语言来解释,”BT Global Services的Bryan Fite表示,“采用规范化和被接受的语言,安全专业人士可以更有效地与那些控制预算和决策的人进行沟通。”
帮助评估技术
通过将谈话焦点放在业务优先事项上,风险管理自然地将IT安全视野扩展到了技术以外的地方,从长期来看,这将提高企业的抵御成功率。
“单靠安全技术是不够的,”FireMon首席技术官兼总裁Jody Brazil表示,“如果技术没有进行有效地配置,它将无法提供预期的安全性。风险管理能够对技术的有效性进行评估,同时能够对管理该技术的人员和流程进行评估。”
安全漏洞往往是因为糟糕的流程和糟糕的决策造成的,而不是糟糕的技术。
“太多公司认为安全只是他们部署的一些硬件,而没有意识到他们并不清楚自己的薄弱环节是什么,以及他们没有适当的流程和程序来确保他们花在技术上的钱没有白花,”Stella表示。
将IT安全加入业务的大蓝图中
也许最重要的一点事,风险管理能够帮助将IT安全加入到业务的大蓝图中,让企业了解IT安全对业务的影响力,以及能够确保业务不断创新和发展的能力。
“太多公司将安全视为只属于IT部门的东西,而风险评估和管理是业务流程,属于所有业务部门,”Stella表示,“适当的风险管理,意味着IT只是项目经理,而每个业务部门都需要贡献自己的业务知识,这需要从高层开始,从C级管理人员开始。”他表示,但这也可能是为什么很多企业没有开始进行IT风险管理的原因。
“C级管理人员太忙了,而业务部门不理解他们参与的重要性,IT总是忙于保护企业,”他表示,“IT部门做了什么呢?他们购买技术,然后宣布完成。但是真正的问题并没有解决,因为没有人进行了彻底的风险评估,导致最后没有什么可管理。”