风险管理是解决之道
法规遵从难题、更广泛的攻击途径、容易上当的最终用户。IT负责人应当如何是好?大致上来说,信息安全工作要有所侧重,最好的办法就是不要再去考虑漏洞,而要开始考虑风险。没有哪家公司堵得住每一个漏洞,因为缺乏足够的资源,也从来不会有足够的资源。就算拥有无限的预算,威胁格局也在不断变化。
简单说来,风险就是你因某项活动而蒙受损失的可能性。风险管理方法使用人员、流程和产品来降低发生不妙事件的可能性;如果真的发生,就尽量减小损失。从IT的角度来看,这不仅仅是落实安全政策——接受调查的公司当中差不多54%如今设法落实了安全政策。
IT人员需要不走常规路,对自己进行培训,以便关注数据价值以及数据受到危及的可能性,而不是关注如何可能受到危及。明白如何受到危及固然很重要,但一旦数据泄露出去,就没有办法把它收回来。
使用风险评估的做法相当广泛,79%的调查对象在采用这种做法,不过不是所有公司随后充分利用评估结果。在进行评估的公司当中,76%用来制订安全政策,但只有41%用来帮助采购和规划。
当然,不是说你非得是MBA才能知道风险评估牵涉的不仅仅是IT和数据安全。许多公司推出新产品、管理营销预算、进行资本投资时,一直在运用风险分析。IT团队需要运用自己公司里面的这种知识和见解。
美国电气保险公司(Electric Insurance)的系统工程与支持经理Michael Hannigan表示,该公司把大约20%到25%的项目规划时间用在了风险分析和管理上。因为从规划到后期制作的整个流程都包括了风险分析环节,Hannigan发现能够及时找出潜在问题,并加以解决。事后补救问题的成本要比在设计阶段解决问题高得多。就拿美国电气保险公司来说,风险管理已成为其公司文化的一部分——这对金融公司来说不足为奇。我们都应当这样积极主动。
风险评估的大笔先期成本主要会来自分析资产和风险;确定项目、产品线和服务的价值;然后列出每个类别的风险。不过一段时间过后,这个流程会带来回报。
Hannigan说:“你一定要有战略。像身份管理和密码管理这些重大的IT项目实施起来成本非常高昂,但你希望三五年过后得到怎样的结果、什么才是最简单的捷径?你不希望出现多个安全孤岛。你希望标准化、不背离那些标准,除非存在诱人、合理的原因需要偏离标准。”
为了证明繁荣的安全产品市场,我们询问采取了哪些措施来缓解风险时,72%的调查对象提到的第一个答案就是运用技术来解决问题。这本身没什么不对——技术问题需要技术方案来解决,但你要把它与一些更有战略性的非技术方案作比较:只有18%的调查对象对敏感数据实行了基于角色的访问机制。
考虑到针对性的风险管理需要大量精力和资金,评估日常流程的成功就至关重要。60%的调查对象使用内部审计来评估风险管理项目是不是在取得成效;近一半的调查对象使用法规遵从来评估成效。但这些步骤没有一项与请渗透测试专家来进行破坏测试那样来得有效,金融服务公司注意到了这一点;其中69%评估独立审计的成效。总的来说,取得成效的比例只有43%。
谁控制、谁负责所有这些预算费用呢?在63%的公司当中,IT预算资助风险管理项目,而这适用于各行各业。更值得关注的是,制订风险管理计划的公司当中69%表示,从长远来看,这种方法可以为自己节省费用。只有22%的公司表示,风险管理项目会不断消耗预算。人们常想到风险管理方面的永久成本,上述调查结果倒是让人耳目一新。
虽然我们没有询问可以从哪些方面节省成本,但可以从其他问题推断出可以取得哪些成效。风险评估主要用于制订风险缓解政策、堵住安全漏洞;这可能会提高流程效率,比如利用数据库简化资产管理和政策遵从。相似的是,明白漏洞来源、查明根源可以提高整个公司的效益。法规遵从也通常会得益于风险管理,无论是加强基础设施安全和存储管理,还是加强身份管理和文档记录流程。
最后的结论就是,风险评估的初期成本可能看似很高,不过一些长远效益使得这笔成本是值得投入的,比如简化数据管理、记录现有流程,更不用说实际提高数据安全了。
