为企业提供针对IT风险的清晰业务视角
北京,2012年2月21日——赛门铁克公司宣布即将推出新版的企业级IT治理、风险与合规性(GRC)解决方案,即Symantec Control Compliance Suite11。该解决方案将增加新的Control Compliance Suite Risk Manager模块,使企业的安全主管能够基于IT基础架构的视角,更好的洞察和传递那些可能给企业业务环境带来的风险。据透露,Risk Manager将技术问题转化成了与企业流程相关的风险问题,为不同的利益相关方提供关于IT风险的定制化分析,并且可以基于业务关键性而非技术严重性,确定补救措施的优先级。
目前,安全威胁和风险管理已经成为企业级管理层面临的重要议题之一,2012年1月,赛门铁克委托Forrester Consulting公司进行的调查中发现:
70%的安全决策者表示,在近期发生的高调攻击和数据中断事件的直接影响下,管理层加强了IT安全意识;
在被问到IT风险计划需要如何改变才能为其业务伙伴关系带来最积极的影响这一问题时,47%的受访者表示提高企业对安全和风险管理的价值沟通能力尤为重要;
超过40%的受访者表示需要更及时、更准确的数据或频率更高的风险与合规性报告。
赛门铁克信息安全集团(ISG)副总裁Art Gilliland表示:“超越技术专家的传统角色而成为企业的业务风险顾问,是当今IT安全主管成功转型的重要一步。今天,安全威胁问题已经进入企业管理层的议事日程,而赛门铁克新一代IT治理、风险与合规性(GRC)解决方案将帮助信息安全主管们推动切实的变革并与其商业伙伴更好的履行责任制。”
由于Symantec Control Compliance Suite11中的Risk Manager模块与具体的业务流程、组织或功能相关,它将帮助安全主管创建具有针对性的IT风险视角。安全主管能够阐明那些未解决的配置或漏洞问题对公司的在线电子商务网站、交易处理系统或其他关键业务流程等,将可能造成何种无法接受的高风险,而不仅仅是向业务主管提供有关这些问题的细节性报告。同时,将技术性的IT问题转化成更易理解的业务风险术语,能够有助于提高企业的安全意识、责任性和行动力。
基于赛门铁克新一代IT风险与合规性解决方案,安全主管能够依据IT风险指标为特定人群定制不同的风险报表,从而使企业中围绕IT风险进行的沟通更为有效。
1.针对管理层的风险报表能够标明高风险指标(如针对业务部门的风险)或对影响关键业务流程的风险进行评分。
2.安全性运营报表能够深度挖掘这些风险评分背后的技术细节。
3.IT运营报表能够提供具体的修复计划,并随着修复计划地展开,监控风险是否在减小。
这些不同的报表视图能够确保IT和安全运营团队明确自己需要采取的行动,以减小企业关键业务的风险,与此同时,也为利益相关者提供了他们所需要的信息,使其能够更好地做出相关决策。
Symantec Control Compliance Suite还将配备一个灵活的、可扩展的数据框架,这一点对于为不同受众提供丰富的数据分析,至关重要。该框架可以将不同来源信息的汇集流程进行极大地简化,并实现这些信息的“正常化”,从而能够以通用的格式进行查看。同时,Symantec Control Compliance Suite能够将自动生成的技术评估信息,手动输入的信息和程序性评估信息汇总起来,并整合来自赛门铁克或非赛门铁克解决方案的其他数据,从而为企业提供丰富的信息源,更好地支撑分析和决策。这样一来,与特定业务流程、组织或功能相关的IT风险就可以实现真正的多维度视角了。
企业战略集团首席分析师Jon Oltsik表示:“我们看到越来越多的首席信息安全官(CISO)被要求要以业务为中心向企业提供IT风险评估,使企业高级管理层和业务经理们都能够很好地理解IT风险并依此做出决策。要满足这一需求,需要对风险管理与基于IT的业务流程的交集高度关注。”
美国Waste Management公司信息与基础架构安全主管Tim Stanley表示:“当你被要求在企业高级管理层面前汇报IT风险时,你最好有详实、充分的数据指标作为支撑。而收集这些信息并利用这些信息与利益相关方有效地沟通,的确是我们面临的重大挑战之一。通过ControlCompliance Suite Risk Manager,赛门铁克为我们应对这个挑战提供了强大的工具。”