随着信息时代的到来,信息已成为企业最重要的资产,然而对大多企业来说这也意味着越来越的责任,为此企业开始重视自身信息机密的保护,采取多种多样的方法降低企业IT风险发生机率。
多年以来信息安全被视为防御性战略方案,前期大规模的投入仅是为了单一的保证机密信息的安全性,近几年随着安全事件逐渐增多,企业不得不投入更多的资金运用在信息风险管理上,从而企业也开始从自己的安全投资上要求更高的回报。通过长时间的实践,企业的IT管理者们发现通过有效促进关键性业务的创新,如加快创新与协作,以及降低合规性成本,可以在更大层面上确保项目投资的成功比重,从而起到促进关键业务的发展。
信息风险管理企业必需品
信息风险管理是一个以信息为中心的战略措施,它可以根据客户的需求明确需要保护那些东西,评估整个企业所面临的风险是什么,以及如何考虑安全投资的优先次序,从而有效推动企业的发展!
RSA全球副总裁Sam Curry 先生指出,"我们知道,以前的安全是了解什么人做了什么工作,如果他们的工作出现了问题,我们应该如何弥补。我在这里要强调的是,安全是业务的一个使能因素,而不是阻碍业务进行的障碍性、抑制性因素。人们为什么需要安全管理呢?他们也是希望通过良好的安全环境能够推动更多的交易、赚取更多的利润。而你在做安全的时候,并不是说让用户购买更多的基础设施,而是提供可靠的安全服务,从而能够降低风险、掌控风险,这就是我们所说的在安全中产生的变化。安全是从了解人们做了什么事情,到推动人们可以发展新的业务。"
Gartner数据表示,一个组织部署的安全控制的数量,是其合规性程序复杂性和成本的一个很好的代理。有些公司对合规性报告采用了面向风险的方法,并减少30%至70%的控制,这有助于降低成本,减少复杂性和提高可靠性。
由此可见,众多企业已经开始对信息风险管理有了较为清晰的认识,选择使用信息风险管理加强企业内部控制,从而提升企业的信誉度及可靠性。
信息风险管理所面临的挑战
近几年信息泄露事件频频发生,无论是人为窃取还是意外遗失造成的影响十分严重,此外以炫耀技术为主的黑客一族开始朝着获取利益方面快速转型,面对如此众多信息安全隐患,如何有效封堵信息泄露的途径以及如何在技术手段上超越"网络窃贼"已成为信息安全厂商急需解决的问题。
Sam Curry 先生表示,"对于攻击者而言,他总会寻找到网络中最薄弱的地方从而发起进攻。他们在窃取信息是为了要赚取利润,这就使得我们要采取预测的方式进行监控。
无论是安全厂商还是恶意攻击者,实际上是在做"武器"上的较量,双方在技术层面交替上升。作为RSA的优势,数据丢失保护技术其实是整个信息安全防护中非常关键和重要的一部分。除此之外,我们还需要其他一些技术和工作要做。比如说我们需要很好地进行业界或者社区的协调。也就是说,我们要共同建立这样一个防御很好的村庄,去打击一些散兵游勇的攻击者。我们还要有一些协作的工具,对攻击者采取进攻的态度。通过这样一些工作,我们就可以改变攻击者盈利工具的算法,迫使他们的攻击成本提高。"
RSA作为全球领先的信息安全厂商,在风险管理战略上提供了一个端到端,全面的方法论,从而保护公司最为重要的信息资产。
下面简单的介绍RSA全面信息风险管理方法论:
1. 全球风险框架
安全措施要符合关键业务创新。对于关键数据,风险评估可以对存在于业务线和运营中的风险提供全面的视图。
2. 信息分类和发现
对信息进行分类,就可以系统地应用适当的策略和保护措施。数据和应用发现工具可用来在整个企业中找到所有敏感信息的实例。
3. 人员控制
策略通过执行控制措施而自动执行。这些控制措施包括认证和访问管理,能让用户安全的访问企业资源并进行交易,同时权衡了风险,成本和便利性。
4. 数据控制
执行自动化的控制来保障结构化和非结构化的数据,无论数据在终端,网络和服务器中是处于使用,运动还是静止状态。
5. 审计和合规性
安全法规遵循的有效性是通过审计控制和记录其效力来实现的。