2007年,许多企业却开始注意自己的信息安全风险。制定安全风险管理流程成为许多企业在 2007 年采取的最重要举措。这是因为如果不实施正确的安全风险流程,企业的所有的业务活动均可能会受到恶意威胁、配置错误以及大量漏洞的影响。
由于企业缺少可同时管理安全和法规遵从风险的方法,使得企业无法站在风险的角度来审视自己的安全系统,有可能导致“头痛医头,脚痛医脚”的事情发生。结果是企业购买了许多的安全产品,包括防病毒、IDS、防火墙等,却仍然无法改变现有的安全状况,甚至有可能还会更差。迈克菲(McAfee)日前提出了安全风险管理的概念。迈克菲认为,风险管理是一个方法论,利用这个方法论可以指导企业构建适合自身业务需求的安全系统,而非安全产品的堆叠。根据当今威胁的发展趋势,迈克菲认为企业需要安全风险管理的时机已经成熟,以下五个因素使得企业需要考虑采用安全风险管理方法论,来重新部署自己的安全系统:
安全人员需要评定风险的优先级,减轻威胁
企业必须要跟上不断变化的规章制度的步伐,并实施法规遵从
管理者需要通过内部和外部的控制台了解企业法规遵从情况
企业需要帮助执行一致的、适合的流程以改进法规遵从审核
IT 运营部门需要将产品和流程整合在一起,以提高管理安全和法规遵从的效率
如果能够成功地应对以上这些挑战,企业就能够获得巨大收益,包括管理层在内的每一个人都能更清晰地了解企业所面临的风险状况以及法规遵从情况。借助清晰定义的安全风险管理方法(包括安全防护和法规遵从指标),企业可以前瞻性地采取措施应对风险,而不是被动挨打。迈克菲认为,企业完全没有必要专门配置人员来匆忙应对每个新的威胁或漏洞。通过采用安全风险管理方法,企业不仅能够确保其关键系统不会瘫痪,还能够确保其企业及客户数据始终得到保护。
迈克菲通过一个安全风险管理流程来帮助企业管理其安全系统和法规遵从。这是一套协同工作的工具,可以帮助企业制定资产保护策略并根据漏洞及威胁评估实际的风险等级。此外,迈克菲还可以帮助企业获得适当级别的保护,避免预算超支。这种方法的优势在于安全风险管理方法能够保护企业免受会对重要IT系统和操作过程造成重大破坏的最严重威胁。安全风险管理可以帮助企业组织理解其资产,并分析必须弥补的漏洞。安全风险管理还为内、外部法规遵从性计划提供了便利,并使企业组织实施与客户数据集成、企业应用程序和数据库配置以及财务报告准确性相关的策略。
在安全风险管理流程中,迈克菲将其分为制定政策、评估风险、实施保护和管理法规遵从性四个方面。根据企业用户的需求推出了不同的产品组合,例如在威胁防护产品组合中,企业用户可以利用安全网关抵御滥用、网络钓鱼、垃圾邮件、间谍软件和恶意软件的侵袭,使用 IntruShield网络入侵防护解决方案可以有效地防范网络蠕虫、入侵、VoIP攻击、僵尸网络、DOS/DDOS、P2P/IM,采用 Total Protection 预防应对病毒、蠕虫、垃圾邮件、间谍软件、零时间攻击和主机入侵。另外,利用最新推出的数据丢失防护(DLP)技术,可以有效地帮助企业,保护敏感和核心数据。
在不久的将来,迈克菲所倡导的安全风险管理方法论将得到企业的认可,并通过传统的全面防护产品在主机层面和网络层面实现对威胁的评估与防御,结合迈克菲AVERT安全实验室所发布的最新威胁信息和企业内部或外部的策略规范,从企业当前应用各类产品中采集各种风险相关数据,形成量化的风险报告。
IT 操作和安全任务中涉及的所有各方都表示他们能够应对新的挑战。在 CIO 的领导下,安全官员和IT操作人员制定新的合作日程,将 IT 作为针对业务资源风险进行计划、确定优先级和管理的重中之重。没有时间来手工发掘流出不同安全和法规遵从性工具的大量信息以确定哪些数据和资产需要优先保护。从管理安全性过渡到管理风险需要IT 组织摒弃其固有观念,改变以往使用单一产品对每一种新威胁进行防护的做法。迈克菲认为安全风险管理是一个流程而非一个产品。安全风险管理同样涉及管理和评估。它消除了分隔安全性计划和法规遵从性计划的壁垒,并认识到合作的过程可以确保组织安全和遵循法规。因此,企业的管理人员或是CSO应该停止管理安全性,而开始着手管理风险。
|