|
我们需要怎样的信息安全管理信息安全在这几年算是一个比较热的话题了,陈冠希把这个专业的管理课题推向了大众,完全应该发一个信息安全管理营销奖给他。前段时间帮助一家汽车公司做了内部的信息安全评估工作,花了不少时间写了一份100多页的安全状况评估报告,这个过程中对企业的信息安全管理有一些感触。 对于信息安全管理跟IT服务管理,这其中有许多重叠之处,所以ISO27XXX跟ISO20000在一个企业中实施时需要高度整合。在项目过程中,我一直在反思一点,一家企业需要怎样的信息安全呢,对金融行业而言,怎样强调信息安全都不为过了,对于一个企业的研发机构而言,保密要求也不需过多言说了,但经常的一个感觉是,只要具有规模的IT架构的企业,都被教育成了信息安全的信徒,似乎每个企业的周围都布满了虎视耽耽的黑客们,这不由得让我想起了911后的美国政府,小布什们用一种恐吓的方式让民众们支持其军事行动与激进的监管行为,而在这IT行业中,这个推手更多是原厂商们,所以我们会看到企业们会花钱请思科们对架构做安全评估,于是花费巨资完成的评估报告的结论是,企业需要投资购买思科们的安全设备,这是一种比较荒唐的情形,但它广泛存在于IT行业。所以我想首先想不想,这个世界是不是真的如此不安全,或者这种不安全充其量可以带来如何的后果。 除去金融行业,或企业内部的研发部门,大部份公司真正保密的可能只是员工工资与企业利润这种信息,我们会发现一种信息是否被窃取,它与别人的兴趣成正比,也与别人愿意为获得它付出的成本成正比,理论上一个信息如何别人愿意不计代价去窃取,他必须可以获取,因为任何防御体系都是可以被攻克的,即便是信息保护不周全,但因为别人缺乏兴趣,因此它事实是安全,即它存在的弱点不会被利用,我们可以想想在中国有多少企业愿意请采取非常手段去获取别一个企业的商业信息呢,如此操作带来的收益与承担的风险是完全不成正比的,所以这种情况基本上可以不用考虑,这里的我的认为是,当一个信息被外部窃取的可能性很低时,它的防卫投入同样可以很低,我们认为重要的信息对外部未必重要。另一种情况是,有一些安全控制要实施需要耗费较大的监控成本与维护成本,比如通常新车上市前,图片是保密的,要做到这种信息保密,需要做大量的安防工作,但是真正考虑图片提前泄露出去带来的损失时,我们会发现情况并不如我们想象的恶劣与极端,所以这种控制策略是不是经济的同样需要考虑。 一谈信息安全,我们直接反应是不要让黑客们跑进来,不要让我们的信息随意流出去,这更多是防跟堵的方面,但如果理智的分析,我们很有可能发现,这种防跟堵它有它存在的必要,但是首先保障信息的生成正确与存储正确更为重要,这就是方针跟战略,但它很少反映我们的具体安全策略跟投资行为之中,这样我们的安全管理容易先陷入一种东奔西跑的局面,于是我们会发现:我们会花费巨大的投资防卫黑客,却漠视数据库在组织内分发。我们会花很多钱购买防病毒软件,却对终端的管理疏于管理,各类移动存储介质随意流动。我们会配备一个强大的监控平台去监视各类设备运行,这个监控平台的主机却没有是一个普通PC且没有专业管理。我们拥有一个补丁服务器管理所有操作系统补丁升级,但这个补丁服务器的补丁却从来没有更新过。我们发布一系列的安全措施与要求,但从不与已有的管理流程整合一体,也不会每年真正去审计落实情况。我们关注信息系统的信息安全,却没有考虑企业每天产生的大量业务文件的安全。 于IT组织而言,以为花钱可以买来设备带来安全,这是一种彻底的懒汉思维,追求单一产品的技术先进,忽视规划、整合及应用管理,这是一种奢侈的投资浪费。漠视业务部门对业务信息的存储与管理,造成企业信息很重要的部份缺乏应有的保护,这是一种消极的工作态度。这个世界这个行业每天产生新的概念、方法跟技术,但我们很少在管理上做好迎接它们的准备,虚拟化跟云技术给IT服务管理与安全管理带来的挑战很少人去考虑,在大谈最先进的技术时,我们的基础管理却不堪一击。一个技术落后但管理扎实的安全体系要远比一个技术先进而缺乏管理的安全体系有效得多,这是强调回归管理本身,而在满世界传唱着聪明外交与智慧地球的时代,我们的安全策略同样如此,我们需要智慧的安全策略,放弃极端的控制思维,因为它维系它需要耗费巨大成本,击溃它却轻而易举,战略的清晰在任何层面都是重要的,把它传承到每一个环节的困难,我们是很难取巧去逃避,不迎接一次痛苦的管理调整,我很难相信管理迎来质的飞跃,我深信IT的存在与信息安全的存在都是基于业务的利益需要,真正的IT服务管理与信息安全管理必须基于自身转变,而不是外部的给予。 责编:姜玲 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 |
最新专题 |
|