DoSECU 安全分析 3月19日消息:经济衰退时期,企业更应该加强安全管理,本文列举了重要的五大窍门。
根据风险级别区分优先级
据研究机构的市场调查结果显示,在目前不稳定的经济气候下,某些风险可不能不值得投资,研究机构建议企业应该根据风险评估级别来区分投资的先后顺序。投资决策不仅要考虑风险的所在位置,还要从中挖掘蕴藏的机遇。
一份名为"高瞻远瞩:在严峻经济形势下根据战略优势管理信息安全"的报告也建议,在经济萧条时期企业要了解那些风险是必须立即回避的,那些是不值得进行投资的。Coviello以银行的大客户为例,银行向RSA实验室自定义解决方案进行投资的目的是为了减少欺诈,但是每年他们要为此花费200万美元。Coviello认为这些虽然有用,但并非必不可少。
Coviello表示"问题是这种风险是否值得银行每年花费200万美元来解决呢?答案是:不值得"。
报告还建议说,应该把配置最新安全技术的注意力转移到与业务有关的综合安全措施上来。"如果你能证明你的安全控制能立即解决多重领域的风险,你可能就能从安全管理中受益。举例来说,了解谁在访问什么系统能帮助预防欺诈"。
团队中人员的合理定位
随着企业预算大幅削减和经常性裁员的发生,目前面临的前所未有的事实是,妥善安置员工是最基本的。
报告中称"合理安排核心安全团队中的员工比以往都更加重要,因为企业必须更加依赖他们的工作。核心安全团队的成员必须在脑海中形成风险/奖励框架和额外的技能准备"。
Coviello还建议重新定位员工角色来避免裁员和更有效的发挥战略作用。目前是安全事故和事件管理者系统实现更加自动化管理的时候了。之前负责这项任务的员工现在应该自动重新分配新的角色。
Coviello表示"我们不能将这些员工解雇来避免成本的增高,我们应该尽力保持公司员工队伍的稳定"。
建立可重复流程
报告称建立有章可循的标准流程能在长期范围内发挥效率。不同部门在做同一件事情时经常采用不同的方式。要更加有效的进行安全管理就要对这种现状进行改革。
Coviello指出报告中陈述的都是易于实现的措施,诸如身份验证和访问管理。举例来说,难道每个部门都需要一个不同的ID Admin Request机制或者一个不同的优先访问管理系统吗?
EMC公司的首席安全官Roland Cloutier在他的研究报告中表示"关键点是不要重蹈覆辙。在企业内部通过调整不同部门的资产来减少保护企业安全的成本存在着不可思议的机遇。这些可能来自于IT部门,审计部门或者财务部门。花点时间来关注什么流程已经在实施,而不是重复再建一个流程。要信任和使用来自内部合作伙伴的信息"。
创建优化共享成本战略
Coviello认为"每个人都应该在这个时候共享资源成本,但是这种想法是在任何预算情况下都必须考虑的安全策略。企业不应该仅仅依赖核心安全部门来采取这些措施。这应该是每个人都付出的努力"。
根据研究报告显示,安全行为被划为为3种分类,每一种都有不同的解决方式。这三种分类分别是:安全战略和知识管理,关键性每日运营和项目管理。决定成本共享是基础。
摩托罗拉公司信息安全和保护部门副总裁比尔.博尼在报告中表示"在企业环境流动性大的时期,你该如何分配资源来满足他们的需求?安全团队要如何确定满足企业内部的所有需求到底需要多少资源?与建立安全王国不同的是,让企业拥有自己的递增资产。安全能提供标准和管理项目"。
自动化和外包
Coviello认为"我们努力的目标就是节约成本,企业应该在制定决策之前考虑业务外包的可行性。考虑外包业务应该和各种因素结合起来。如果只考虑成本,就会犯错误"。
尽管外包能创造效率和节约成本,企业也应该考虑外包在某些情况下会增加安全风险。对任何第三方的信任都会加剧数据丢失的风险和企业敏感信息外泄的可能性。
