IT安全必须引入风险管理的四大理由

如果IT安全部门希望自己真正帮企业在如今瞬息万变的各类攻击威胁下顽强生存,那么研发战略的科学性绝对是保障业务正常运转的首要条件。安全专家提醒我们,随着破坏性活动与恶意软件感染率的持续走高,旧有安全机制已经很难应对新形势下的新挑战。

“传统IT安全工作其实是以简单粗暴的方式重复同样的流程,”来自财务服务企业信息系统及安全管理部门的J. Wolfgang Goerlich指出。“我们每天所做的工作都大体相似,部署各类系统、安全机制及工具,然后坐等这些成果在新的漏洞及攻击威胁下土崩瓦解。问题出现之后,我们再次重复之前的过程,希望重新打造的安全屏障能够让我们在恶意活动下再苟延残喘一段时间。”

根据Goerlich与他多位同事的意见,如果安全部门打算让过去日复一日压力极大的工作变得更有价值、更能有效支持企业业务的顺利进行,技术团队需要做的是将风险管理理念纳入决策考量范畴。接下来我就列出几点主要理由,向大家解释为什么安全专家一致认为风险管理具有如此突出的重要性。

风险管理帮助企业整理优先次序

由于信息安全团队的人手永远紧张、而需要照顾的系统又太多,因此传统安全维护方案令我们很难看清到底哪些工作应该优先完成,Goerlich表示。

“除此之外,部署、维护之类的工作并不是安全管理的最终目标,大家首先要认清一点——我们的职责是保证企业能够不受攻击活动的影响,进而顺利完成既定业务,”他解释道。“风险管理正是对症的一味好药,它将团队的注意力集中在帮助企业实现业务计划、并依优先次序保护关键性系统的工作上。”

Entrust公司CTO Jon Callas也认为,在统筹基础上合理进行风险分析及管理完全可以让安全工作变得事半功倍。

“通过分析,我们能够明确自己当前正面临哪些威胁、这些威胁需要分配哪些资源加以消除。另外,一旦出现严重安全问题,我们可以迅速后果的严重性,并更好地理解下一步该做什么、为什么要这么做,”他总结道。

将安全问题翻译成商务语言

根据ALienVault公司研究工程师Conrad Constantine的说法,风险管理能够维系信息安全,而信息安全则保障了企业整体。

“缺乏风险管理机制支持的安全工作对于企业而言只是一种开销巨大的纸上谈兵行为,”他认为。

与其让信息安全团队焦头烂额地应付各种来自暗处的攻击威胁,倒不如采取风险管理机制所擅长的办法——以纯粹的资金标准将保护工作进行量化,并帮助IT部门把职责回归本源,即确保企业在信息系统领域的成本投入得到保障。

“大家会花2000美元来保护那些只值2000美元的财物吗?这显然是笔赔本的买卖,对吧?实际上如果没有风险评估机制,我们根本搞不清自己要保护的东西有多大价值,更谈不上计算该在安全机制上投入多少现金了,”Network Box美国公司CTO Pierluigi Stella告诉我们。“合理的风险管理机制非常重要,它能帮我们理解该在安全方面投多少钱。我们到底在保护什么?保护对象的价值到底有多大?如果丢失了这些信息或者被坏人钻了空子,我们将面临多少损失?将一切问题归于量化,然后再着手管理。”

而在英国电信全球服务部的Bryan Fite看来,风险管理这个词本身的描述并不准确。

“我认为称其为风险&回报管理更贴切,因为它的核心在于指导企业制定决策。身为一名技术人员,我们在陈述席上必须用严谨准确又易于理解的方式帮助企业了解哪些资源代表着实实在在的利益,”Fite表示。他目前在英国电信全球服务部驻美国&加拿大分部担任投资组合经理。“通过标准化且简洁通俗的语言,安全专家能够更高效地与预算及政策制定者们进行沟通,进而将自己的意见准确传达给对方。”

别把安全希望完全寄托于技术

既然在业务与技术部门之间的对话中我们选择倾向于前者,那么风险管理所涵盖的范畴自然也会超出IT安全团队所熟知的技术领域。而这种重心的转移对改善企业抵御恶意攻击而言意义重大。

“把安全的希望完全寄托于技术还远远不够,”FireMon公司总裁兼CTO Jody Brazil指出。“如果技术没有经过高效配置,我们根本不可能得到预期中的保护效果。风险管理会对技术的执行效率加以评估,同时考量操作人员与处理流程到底能否发挥技术中所蕴含的最大价值。”

在这方面,Kevin Mitnick的观点更有说服力,也有很多读者结合自身经历验证了其准确性。Mitnick的核心观点在于,糟糕的执行流程与错误的行政决策往往比技术方面的疏漏更容易引发安全问题。

“许多企业把安全事务当成儿戏,认为部署几套硬件就能解决问题。他们没有意识到,在未能准确把握薄弱环节所在、不知道如何正确执行决策并且没有对投入资金进行量化评估的情况下,再成熟的技术也无法阻止麻烦的出现,”Stella解释称。“如果员工缺乏安全意识,随意把社保卡的复印件扔进垃圾桶,那么配备再好的碎纸机又有什么用呢?技术只有被正确使用才能真正带来收益。”

将IT安全纳入企业的发展蓝图

更重要的是,风险管理能够切实将IT安全纳入企业的发展蓝图,把概念层面的指导与企业持续稳定的发展融合为一个整体。只有这样,创新与繁荣才能获得有力保障,技术支持团队才会拥有正确的努力方向。

“许多企业把安全看作只需要IT部门操心的事情,但现实恰恰相反,风险评估与管理应该是业务流程的一部分,需要所有业务部门共同配合,”Stella告诉我们。“合理的风险管理机制需要多方协作,IT部门只是项目的管理者,而各个业务部门则是分布执行者中的成员,他们应该将自己的知识储备纳入执行流程;要做到这一点,企业高管们首先要端正立场,以严谨的心态自上而下加以贯彻。”

不过也正是由于实际执行太过繁复,因此大部分企业的领导者都会下意识地抗拒IT风险管理机制,他表示。

“企业高管每天都有一大堆事情要忙,业务部门也不理解自己的加入会带来怎样深远的安全影响;而IT部门就这样被孤立出来,以一己之力替整个企业完成对抗攻击威胁的艰巨任务,”他指出。“因此面对有限的人力与物力,IT部门只能选择购买某项技术并宣称已经部署完成。但实际上问题并没能得到彻底解决,因为根本没人踏踏实实做过风险评估,最终技术人员会发现自己根本没什么可管的。他们只能静静等待问题出现,然后再想办法降低损失、亡羊补牢。”