迈克菲首席安全官阐释安全风险管理之道

　　2007年5月31日，迈克菲公司首席安全官Martin Carmichael博士来到北京，在2007中国信息安全年会上对安全风险管理进行了深入的阐释。

　　Martin Carmichael博士首先谈到作为安全部门，最重要的是和其他相关部门进行良好的合作，保证在安全实施的过程中使整个公司获得利益。

如果我们不能做到这一点，就可能会遇到很多糟糕的事情，包括信息的流失、病毒的入侵以及一些服务的中止等问题。在这个过程中，人们往往会带着一种恐惧、怀疑和不确定性去购买一种单一的防护产品。但是，当人们靠对安全抱有的恐惧心理来购买安全产品的时候，就很难与公司的业务部门进行有效地结合。

　　那么，今天的安全体系是如何建立和实施的呢？Martin Carmichael博士谈到，人们讲信息安全的时候，往往是在谈那些具体的安全产品或者是其他的虚拟和物理的产品，但是公司的CEO、首席信息官和商业合作伙伴并不一定真正了解这些安全产品。首席安全官的首要任务是要让业务部门和公司高层了解公司存在的风险是什么，挑战是什么，以及进行相关的安全管理流程和投资所能得到的回报。

　　完整的安全风险管理有五个步骤：

　　第一步：了解安全风险管理的内涵

　　第二步：通过技术手段识别风险

　　第三步：通过技术手段保障风险管理流程的持续性

　　第四步：明确、量化安全风险

　　第五步：持续管理安全风险

　　在了解了安全风险管理的内涵之后，就是识别和认知的阶段：了解目前全世界存在的安全威胁和挑战是什么，如何来解决这个问题？那就是进行可重复的一系列行动。在这个过程中不仅仅是解决问题，同时还需要寻找漏洞，进行补丁的管理。但是，有一些人并不遵守这样的操作，因为安全风险并不是在流程和管理的层面进行相关的单一产品的应用以及对漏洞补丁可重复的修补过程，这不是事情的结尾。我们需要以更加全面的方式走到第三个阶段，那就是进行管理的层面，也就是实施相关的策略保障风险管理流程的持续性。在做事情的过程中，应该遵守什么样的做事的规则。第四步，要进行量化的分析，对于风险进行不同的分析，以及对不同的产品、技术、流程的分析。最后要对今后的威胁进行预测，持续地管理安全风险，这是五级当中的最高级。如果做完这五步的话，确实是一个很大的挑战！

　　各个公司的相关销售部门都可以问这样一系列问题：一个销售团队在工作的时候，他们是不是仅仅去卖一个产品，仅仅单纯地为一个产品做活动，而没有一个完整的流程？在这个过程当中，他们是不是有一个可以量化的指标？有没有一个量化的体系？有没有一个系统性的评定和量化的销售人员？每天的销售业绩和销售指标和预期有多少？安全和销售有同样的可预见性，像销售一样，他们也知道比如在未来希望卖到多少东西。他们必须有一个可预见性的未来，也就是说要有一个目标，看看他们能达到一个什么样的标准和水平。在安全方面我们更需要一个完整的流程。

　　我们把所有McAfee的产品综合起来看，每一个产品基本上都是非常先进的，不同的产品、漏洞、补丁还有其他的相关方面的产品，都有很引人注目的地方。在这个可重复的安全体系当中，我们有不同的漏洞管理产品、Foundstone以及相关的漏洞和补丁管理的产品。在法规遵从管理方面，我们有相关的风险实施的工具，还有ePO管理平台。我们要达到未来的安全需求，就必须要有风险管理方面的解决方案，有相关的解决方案流程，让公司内的其他的部门都能理解。我想这也是我们作为首席安全官主要的一项任务和挑战所在。在迈克菲，其他部门也了解我们的安全问题，我必须要让他们知道在安全风险方面进行相关的投资能得到怎样的回报。

　　在公司中没有多少部门和高管了解信息和安全风险方面的内容，他们需要的是在更加商业化的环境中审视所谓的安全和风险方面的战略。安全部门必须要考虑到其他的商业合作伙伴和其他的合作人员。你们做的所有的事情，包括在安全方面的事情能带来什么样的附加价值，尤其在管理方面。现在，我想我们的企业很难理解我们在安全系统方面给他们带来怎样的附加值。在这个过程当中，我们一定要用更加商业化的方式，向公司的其他部门、商业合作伙伴传递这种附加值的信息。比如说我们在防火墙、邮件方面取得了什么样的成就，有什么样的措施，在技术方面有什么可以推进的东西。我们必须要让我们的管理层以商业化的管理手段或者一种量化的平台了解安全风险及其流程。

　　再来看一看风险方面的特性，包括IT及其他安全方面的基本特性，以便我们了解企业所面临的保密性、完整性、可用性和可审计性方面的风险，明晰安全投资回报。我们最终的目标是通过安全的手段，使公司的资源具有保密性、可获得、一致性，同时还要具有很好的管理能力，方便人们可以取得数据和安全方面的追踪。我在这里要再次强调，无论企业的标准存在怎样的差异，我们一定要从商业的角度考虑如何通过不同的工具、技术和网络实现整个流程上的价值增长。

　　在进行安全部署和法规遵从管理的时候，不要用会出现的诸多恐怖事件和威胁吓唬其他部门，让他们因产生的恐惧心理而接受你的观点。相反，要和他们交流！通过制定客观的风险管理方法并提供指引和支持，从而使各部门真正理解在安全方面的投资能够得到怎样的回报。最重要的不仅仅是技术上的问题，更重要的是一种流程的概念：如何从一个战略的角度上进行不断的改进，达到我们未来的目标。帮助我们的客户在不同的企业中进行他们的风险界定，为未来目标的实施建立正式、安全、全面、具有未来可预见性的体系和流程。利用更新的安全风险管理体系，走到更安全的第四、第五级。