网络安全 频道

2014年企业做好IT风险管理的几点思考

  【IT168 编译】20世纪40年代,彼得·德鲁克曾写道,一个组织的成功,关键要素之一就是把公开的承诺化为具体的、可衡量的目标。这对于一个高科技软件公司来说,也是很重要的,所以我每年都会让我的员工进行年度规划。

企业2014年IT规划和风险的几点思考

  这种规划的价值在于它建立了一种责任制,激励着员工向着目标一点点进步,推动了业务的增长和创新。谁都想做舒服的事情,这是人的本性,但是要知道,取得了昨天的成就,并不意味着就能达到明天的辉煌。把公开的承诺实现为具体的成果,这无疑增加了别人对你和你选择的发展方向的认可度。如果战略目标未达成,也要很快地意识到,然后终止它的进行,不在没有成效的事情上投入更多的时间和精力,这也是一种成功的表现。

  回顾过去的2013年,总结公司的云计划,分析它是如何融入到我们的客户的计划书里的。年回顾总结也是相当典型的,在谈到云计算战略的时候,大多数人似乎都觉得该战略终于成功了,公司把数据移植到云平台上(譬如采用Salesforce和谷歌程序)也成为了可能,战略加速发展也在预期之内。

  虽然这些预测有可能是很精确的,但是年度规划不仅仅是让你从表面去意识到云计算技术对业务的改变,而且还要想想为什么改变了和如何去改变的。在围绕云计划阐明的IT战略中,要考虑到2013年的一些媒体报道,思考一下如何减小在传统的管理技术造成的数据丢失和风险。在2013年的三月,Evernote遭到黑客攻击,造成了5000万用户的密码重置;在八月,美国联邦储备局获取和泄露了数以千计的联邦员工的个人身份信息;在十二月,美国Target商店近4000万张顾客信用卡数据被盗。虽然这种种安全行为都各不相同,但它们说明了一个共同的问题:传统的系统管理,把对负责平台安全的责任落到内部资源的管理中,这很明显是有问题的。

  而对于云计算来说,有很多的风险都是可以得到缓解的。我在之前的一篇文章中写过关于云计算的“晕轮效应”,一些组织在引进云平台的时候却没有考虑到它的数据管理和账户安全。虽然不完全正确,但是如果考虑到让平台提供商负责其提供的基础设施的安全性,其产生的净效益将会很乐观。把传统服务器机房中的数据转移到云环境中,这也意味着减少了操作系统补丁、网络安全设备和物理的安全保障措施。

  这些常见的负责安全漏洞的核心服务,让人们意识到这是一个很好的商业契机,于是那些专业的、有经验的安全团队便有了用武之地,这是任何IT团队都不能比拟的。一个谷歌的数据中心就拥有数千台服务器,其供电和气候控制系统,以及保密文化紧密地交织在一起,形成了独特的谷歌文化,即使是内部的销售和工程团队也只能在有需要的情况下才能知道其经营模式。

  我们也在逐渐接受并试图采取这种模式,把目标进行重新定位,一点点去达成,这样的方式不仅加强了团队协作能力、提高了效率,也让组织变得成熟起来。IT部门发现,这种模式让云应用变得非常强大,那同样地,也可以运用到其他业务领域,建立一个真正的企业级平台,让宝贵的时间和资源在该平台上得到最大限度的利用,而不是让平台始终停留在一个被操作的状态。这是非常有意义的,因为它开辟了一个新的充满无限可能的世界,在这个世界里,有着以前无法获得的资源、团队协作能力和多元化的员工队伍。此外,从安全角度来看,可以确保数据和用户群是安全的,而不用应对那些不安全的软件或配置带来的威胁。

  这种思想上的转变,标志着组织已经意识到,采用云平台需要维护内部部署的系统和程序,而这些不应该被列为目标名单里,因为这有可能会让增加的风险和脆弱性被暴露。当我们踏入2014年,随着新的数据泄露,你的安全团队是创造新的价值,还是在应对昨天的安全威胁?

  原文链接:http://www.securityweek.com/strategic-thinking-it-planning-and-risk-2014

0
相关文章