非IT经理如何管理IT安全

日期: 2010-04-12 作者:罗伯特·奥斯汀(Robert D. Austin),克里斯托弗·达比(Christopher A.R. Darby) 来源:TechTarget中国 英文

  企业的高级主管们很少关注电脑系统的安全,他们通常把维护数字安全的责任推给自己的技术人员或者是外聘顾问。然而,数字安全事关重大,采取避而远之的态度终究不是办法。根据业界估计,每年至少有90%的企业受到数字安全问题的影响,由此造成的损失高达170亿美元。

  本文作者指出,经理们其实并不需要学习复杂的IT专业知识,他们应该致力于自己熟悉的风险管理领域,衡量信息资产的商业价值,确定它们遭受攻击的可能性,并针对薄弱之处制订一套降低风险的流程。这实际上是把电脑安全看作是一种公司运营层面而不是技术层面上的挑战。它类似于传统的质量保证项目,主要是防患于未然而不是等待问题出现之后再去解决,并且要求所有员工的亲身参与而不仅仅局限于IT人员。最终的目标也不是让电脑系统变得无懈可击,因为这根本不可能做到,而是把由此带来的商业风险降低到可以接受的程度。

  本文分析了电脑安全威胁的种类——网络攻击、入侵、恶意代码,认为经理们必须一马当先,带领部下建立各种流程,以减少网络犯罪分子攻击得手的可能性,降低损失程度。作者提出了8点建议:

  清点数字资产,确定每项资产应受多大程度的保护你不会安排一个全副武装的保安守在复印机旁,防止员工复印私人资料;你也不会把公司现金就摆在文件柜里保存。任何事情都有一个主次,你要根据资产价值的高低来决定保护程度。数字安全也是同理。

  明确界定IT资源的合理使用公司应该明确规定电脑系统的使用规范,比如谁可以拥有公司网络的远程访问权,在访问之前须采取哪些安全措施。这与技术无关,而是与人和流程相关。公司必须向用户和商业伙伴解释清楚限制电脑使用的理由。

  控制系统的访问权限公司在允许一些人访问IT系统的同时,必须阻止另外一些人进入。网络防火墙、验证和授权系统、加密技术都为了保证信息安全。公司还应该采用监视工具和入侵探测工具来定期记录公司网络上的电脑活动,及时发现可疑行为。

  坚持使用安全的软件公司如果是使用外部供应商提供的软件,应当和软件供应商签定安全保障合同;如果是自行开发软件,则必须确保开发人员遵守安全的编码与测试规则。

  确切了解运行的是何软件公司必须跟踪软件的版本与修订情况,及时更新补丁,把每一次软件改动都记录在案,这样软件漏洞就会减少,不让黑客有机可乘。

  检测和基准比较公司的安全检查重点应是看入侵是否容易、哪些系统或程序易受攻击,通过制订完善的操作计划,可以令黑客悻然离去。参照行业最高水平来制订安全标准也不失为明智之举。

  安全演习当安全系统被攻破,危急时刻要迅速抉择难免有误,因此不妨平时建立应急预案,演习危机处理流程。

  找出问题根源公司可以借用质量保证系统中所采用的工具,如鱼骨图、八步法等,找出安全问题的根源。丰田公司“五个为什么”之类的问题也可用在调查数字安全事故上。

  重要的是我们必须明白,关于数字安全的决策和经理们平常所做的其他成本收益决策并无二致。经理们在其他商业领域里使用的决策工具依然可以在电脑系统安全的问题上派上用场。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 数字安全使企业关注CISO汇报架构

    一直以来,CISO应该向谁汇报的疑问,因为数字安全的上升,让企业高层有了新的紧迫感。数字安全在企业内已经上升到了新高度,而CISO则是它的守护者。

  • 2016年预测:安全成IT焦点

    根据TechTarget对248位受访者(CIO、CTO、CISO、IT副总裁和总监)进行的2015年度薪酬和职业调查,安全将成为CIO以及IT高层管理人员在2016年的重点关注领域。

  • 如何找出企业内部的“暗数据”?

    本文将探讨什么是“暗数据”以及如何应对“暗数据”,正如作者所言:我们对数据的挖掘还处在一个非常初级的阶段,可将其称之为“黎明前的黑暗”阶段。

  • 2015年IT优先级:安全第一,移动不再优先

    根据TechTarget的IT薪酬和职业发展调查,IT高管们表示,2015年将会是属于安全性,云计算和商务智能/大数据项目的一年。移动化技术则不再是首要项目了。