保障IT信息安全 CIO应提高安全意识

日期: 2011-03-10 作者:龙月洋 来源:TechTarget中国

天灾,也叫“不可抗力”的灾难,通常指水火无情的自然灾害。在IT信息方面,企业经常会面临着另一种“天灾人祸”,那就是IT信息安全。因此,如今你若问CIO最关心的问题是什么时,绝大多数会不约而同地说:“当然是IT信息安全了!”。因为企业IT信息安全问题,不仅牵系着企业用户业务能否正常运行,而且还直接影响到企业效能和核心竞争力的发挥。

  IT信息安全性问题之所以让企业头疼,是因为指望通过一劳永逸地解决所有安全问题是不可能的。因为不论是病毒、数据丢失,还是垃圾邮件等安全性问题,都经常造成企业损失。所以,CIO必须要时时提高警惕,强化IT信息安全以减少企业出现安全性问题的机率。我们的建议是:提高IT信……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

天灾,也叫“不可抗力”的灾难,通常指水火无情的自然灾害。在IT信息方面,企业经常会面临着另一种“天灾人祸”,那就是IT信息安全。因此,如今你若问CIO最关心的问题是什么时,绝大多数会不约而同地说:“当然是IT信息安全了!”。因为企业IT信息安全问题,不仅牵系着企业用户业务能否正常运行,而且还直接影响到企业效能和核心竞争力的发挥。

  IT信息安全性问题之所以让企业头疼,是因为指望通过一劳永逸地解决所有安全问题是不可能的。因为不论是病毒、数据丢失,还是垃圾邮件等安全性问题,都经常造成企业损失。所以,CIO必须要时时提高警惕,强化IT信息安全以减少企业出现安全性问题的机率。我们的建议是:提高IT信息安全意识是根本立足点。那么,CIO应该制定什么措施来强化安全意识呢?

  总结多年的IT信息安全实践,笔者认为提高IT信息安全意识,第一个措施就是明确CIO和IT部门各岗位的安全职责。因为CIO重要责任之一就是保障本公司IT信息的安全、完整与可用性。这项工作不能外包出去,也责无旁贷。所以,在职责上要清晰明确CIO的安全职责,使到CIO在职业角度上提高IT安全意识。例如,在职责上明确规定CIO和IT部门负责安全协调,确保影响IT信息安全的职能是集成在业务流程过程中而不是独立的任务。CIO只要检测到IT信息安全违反行为,就要收集、分析与调查事件;同时应要进行评估IT信息全受到危及或有受到危及之嫌的每一个事件,并把IT信息安全的质量、健全性和可靠性通知和报告高层管理人员。此外,CIO还应该指导IT系统开发人员,确保IT信息安全成为IT系统设计不可或缺的一部分。

  一般来说,保障IT信息安全有两个支柱:一个是技术、一个是管理。但是在许多时候,我们日常提及IT信息安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等。单纯依靠技术和安全产品保障企业信息安全虽然起到了一定效果,但是复杂多变的安全威胁和隐患单靠IT安全产品和技术是难以消除。正如“木桶原理”所示,你的能力是由你最弱的那个环节决定的。我们在保护IT信息安全时,也应该从上述二个方面全面考量,而不能只偏重其中的某一个部分。许多企业花大成本买最好的防火墙,但IT信息安全事件还是时有发生,这是因为没有任何一套安全产品能在缺乏管理策略之下能发挥作用。

  因此,对于企业来说IT信息信息安全不仅仅是一个技术问题,也是一个管理问题。保障IT信息安全和提高安全意识,第二个重要的措施是规范IT安全管理行为。简单的说,CIO必须要为IT信息安全建立一套监督与使用的规范管理程序,并且彻底实行。就是从制度化的角度上提高安全意识。具体方法可从管理和技术两个角度结合起来推进IT信息安全工作。“抓管理还是上技术”这个二选一的问题上最终应该定格为“三分技术、七分管理”。

  面对不断袭来的IT信息安全威胁,除了强化IT安全技术和管理制度以外,我们还应该做些什么呢?根据笔者多年的IT信息安全实践经验,最重要的是:要避免管理短视,提高安全意识!而且,笔者认为管理短视也正是目前IT信息安全上最大的隐忧。短视,可能是很多CIO最不愿意承认的,但却总是会造成致命打击。例如,非常常见和令人费解的是众多企业宁可花大把的钱购买服务器、交换机、防火墙,却很少愿意去加强企业IT信息的管理安全策略。归根结底这是因为很多企业没有主动安全意识,同时也缺乏安全方面良好的管理机制。因此,保证IT信息安全的第三个措施是要避免管理短视,提高全体成员的安全意识。这也是最为关键和核心的一步。

  简单的说,明确IT信息岗位责任只是企业信息安全的第一步,要想在安全体系中有效的、彻底的执行和贯彻安全制度,不断深化全员的安全意识才是关键所在。光依靠IT技术是不能完全解决安全问题的,因为过了一段时间,一些先进的技术可能就过时了。所以CIO不但自己要提高安全意识,还要不断推进企业全体成员的IT信息安全意识建设。因为保障IT信息安全的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业员工的IT信息行为,这也是上升到对人的管理的措施。例如,通过安全教育和规章制度的结合来指导、规范员工正确使用IT信息资源,以不断提高全体成员的安全意识。

  最后,定期进行IT信息安全检讨会议也是一个提高安全意识的重要措施。在明确了IT信息安全目标之后,CIO应当就IT信息安全问题定期地举行检讨会议。一旦在安全检讨会议上发现到现有的业务运作存在IT信息安全问题,或评估以往安全措施的执行情况存在问题时,CIO就需要设立一个解决IT信息安全的时间表和指导框架。每月进行IT安全检讨听上去好像很频繁和很繁琐,但是CIO从中所获得的回报是在当月接下来的日子中可以确保公司IT信息安全,以确保公司业务能正常运作,更重要的是可以保障公司业务运营的连续性。

相关推荐