2009年2月16日 – RSA,EMC (NYSE:EMC)信息安全事业部日前发布了其业务创新安全理事会的第三份报告结果:《驱动业务快速前进:严峻经济下管理信息安全以获得战略优势》。在这一报告中,来自全球的顶级安全领袖检视了当前经济危机带来的信息安全挑战,并为2009年少花钱多办事建议了具体的策略。
RSA总裁亚瑟•W•科维洛(Art Coviello)表示,"当严峻的经济形势下,驾驭业务创新对企业很有诱惑力。但是,使收入增长和业务转型的战略举措比以往任何时候都更加重要。信息安全从业人员可以帮助企业领导者通过了解风险的图景、确定合适的取舍,安全地追求最有利可图的业务机会。同时,信息安全团队必须想办法,挤压每一分钱的最大价值。例如,EMC首席安全官和理事会成员Roland Cloutier最近通过整合EMC内部的设备、应用和技术监控成为一个集中式的SIEM(安全信息和事件管理)解决方案,最近释放了EMC内部系统 25%的监控和响应运维资源,并使系统在报警性能方面获得了4倍的提升。"
2009年CSO/CISO目标:新的信息安全效率,更强的业务优势
尽管经济在处于衰退,信息安全计划的需求却在逐步升级。预算和人员的压力,加上高度的监管要求,不断升级的安全威协,以及管理层的更高期望,继续推动着企业在信息安全支柱领域的投入。在这种气氛下,信息安全团队正面临艰难的抉择,不知道该在哪里投入时间、金钱和精力。
eBay副总裁、首席信息安全官Dave Cullinane表示,"创造业务效率和推动业务优势看起来是相互冲突的目标,但其实它们并不矛盾。尤其是在目前的经济环境下,空前重要的事情是,确保你的团队拥有合适的专业知识做出好的风险/回报决策,最终保证你投资于正确的事情。"
当天发布的《驱动业务快速前进:严峻经济下管理信息安全以获得战略优势》为首席信息安全官2009年管理信息安全项目获得业务成功提出了五点及时的建议:
1.) 按照风险/回报安排投资优先级:业务创新安全理事会成员号召安全专业人士提升基于企业业务风险作出快速决定的能力。
2.) 在信息安全团队中有恰当的人员技术组合:在青黄不接的时期,所有信息安全团队成员必须具有"适当的技能"。他们必须能够与企业业务部门结成合作伙伴,能够提供可供选择的解决方案,能够交谈安全之外的业务话题。在这份报告中,理事会成员对管理人力资源、聘用顾问以及通过权力下放扩展团队提出了详细的建议。
3.) 建立可重复的流程:在大多数机构中,有许多机会实现流程合理化和规模经济。理事会成员敦促信息安全领导者将传统运维指标应用到信息安全项目,尽可能提高效率。他们建议着手将信息安全嵌入核心业务流程,以提高组织的生产力,降低独立的信息安全投资费用。
4.) 创建最优化的费用分摊策略:安全费用往往由集中式管理信息安全组织跟需要信息资产保护的各业务单位和部门分摊。虽然不同企业的计算公式不同,理事会成员提供了深刻的见解,确保支出与目标和需求匹配。
5.) 自动化和明智外包:使用技术来自动化手工流程、外包一些信息安全功能,可以带来可观的效率和成本节约,但有一点非常重要,那就是仔细地规划和管理这些工作以使效益最大化。理事会成员就如何着手获得最佳业务影响提供了指导。
关于业务创新安全理事会
业务创新安全理事会由全球1000名首席信息安全执行官中的10个高度成功的领袖人物组成,他们将分享他们自己的见解和经验,以协助全球组织推动信息安全的发展。理事会成员包括:
• JP摩根大通银行风险管理部董事总经理Anish Bhimani;
• 摩托罗拉负责信息安全和保护的公司副总裁Bill Boni;
• eBay副总裁、首席信息安全官Dave Cullinane;
• EMC 公司副总裁、首席安全官Roland Cloutier;
• CSO Confidential 公司创始人、前BP公司副总裁兼数字安全与首席信息安全官Paul Dorey博士;
• 时代华纳副总裁、信息安全及隐私官Renee Guttmann;
• Genzyme(健赞)公司安全部副总裁David Kent;
• Diageo(帝亚吉欧)首席信息安全官Claudia Natanson博士;
• 信诺公司首席信息安全官Craig Shumard;
• 诺华公司安全和合规性部IT风险管理负责人Andreas Wuchner。
RSA发布的业务创新安全理事会报告基于对所有理事会成员的一对一深度访谈。该系列的第一份报告提供了一系列建议,让信息安全对业务创新更具有战略性。第二份报告提供了一个风险/回报计算的蓝图。RSA期望在未来几个月内发布更多原创的理事会报告。有兴趣了解更多关于业务创新安全理事会报告的读者,可以访问RSA思想领袖的网站http://www.RSA.com/securityforinnovation/,查看和下载所有研究报告。