一直以来,企业安全预算都难于准确地进行判断,而且全球经济危机正在使得这一关键的流程更为困难。企业安全专业人士面对着一个复杂的情景,他们要利用非常有限的财力和人力资源来管理并改善快速变化的风险环境。
“现阶段,由于经济的不确定性,绝大多数企业的 IT 开支都无可避免地受到严格的审查,IT 安全和风险管理——虽然相对于总体的 IT 预算所受到的影响强度没有那么剧烈——但也不会例外,”Gartner研究副总裁 Jay Heiser 说道,“正确地判断和优化安全开支的关键在于确保安全和风险控制的实施满足商业目的,并且尤为重要的是说服老板掌握风险的控制权。”
针对当前的情况,Heiser 亦提出警告,如果安全专业人士陷入以下四个常见的风险控制困境,他们就不可能实现这样的目标。
一、相同等级的保护,或者相同等级的安全支出,对于每个企业不可能是同样有效且经济上可行的,对于企业中的每个组成部分更是如此。安全支持的最优化等级应考虑到风险的评估等级,避免过度支出和过度保护。
二、 切忌基于安全机构所需而非企业所需来制定计划。过去,安全专业人士 通常根据他们认为需要什么而不是企业所需来制定决策,也即以技术为中心来进行投资和部署。既然他们不是基于企业所需考虑,当然就不可能为安全计划或他们所要求的预算 提供合适的理由。
三、风险相关的沟通过于复杂将使业务部门无法理解。安全专业人士必须开发出一套连贯的方式以清楚地表达特定 IT 系统、信息资产和商业流程的安全临界点。Gartner推荐一个简单的分为三个等级的标准——高、中、低,以此为表达 IT 商业临界点提供常用的参考点,而且这个标准也可用于相应的风险管理服务等级。
四、不能允许业务部门将其风险转移到 IT 机构和 IT 安全机构。业务主管们非常愿意利用 IT 机构或 IT 安全机构的意愿而接受余值风险(residual risk),错误地预设 IT 提供的“标准服务”将有效地解决所有形式的 IT 风险。这种态度使得 IT 机构或 IT 安全机构成为安全失效以及由此引发的服务理解或灵活性降低的替罪羊。如果所有系统或信息资产由负责安全或连续性的特定企业经理人“拥有”,内部“市场力 量”将能够有助于将风险与利益对齐挂钩。
简单、可管理的风险评估框架,明确地接受余值风险和安全服务等级协议(service level agreements,简称 SLAs)”将会令提供坚固的企业安全成为可能,并且也使得反对安全预算消减成为可能。” Heiser 先生这样说到,“为了更好地与企业合作,IT 风险管理人可以迈出的第一步是不要将业务经理视为一个需要解决的问题,而是将他们看作需要安全和可靠的计算服务的客户。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
警惕基于云的影子应用
基于云的影子应用带来的风险很多,包括数据安全,交易安全、业务联系性和监管合规等问题,需要CIO紧密和CFO以及CPO(首席采购官)协作,建立一套自上而下的检查体系。
-
中小企业值得关注的10大企业级创业公司
面向企业的产品和服务是投资人看重的一个热门领域,国外媒体盘点了过去12个月以来融资数最多的创业公司,其中有很多你可能都没有听说过。
-
IT消费化的五大隐忧
BYOD使用户隐私和可访问性之间的界限日益模糊,于是网络、数据以及设备的安全问题随之暴露出来。今天,企业需要面对林林总总的BYOD安全陷阱,引发关注。
-
安全买不来!六个高性价比管理措施
为了让投资物有所值、切实保护公司安全,与其购置新方案不如从现有安全措施着手,寻求最低成本下的提升途径。