内鬼窃取企业机密是CEO最头疼的事情!但随着IT管理的施行,这一曾经困扰企业CEO的难题,如今已不再让企业领导者担心。
早上8点到深夜12点,这16个小时,是让很多企业CIO或CEO最为担心的时间段。因为这是企业领导者在进行企业IT战略和规划、应用开发、运营、确保信息安全乃至降低企业管理成本……的工作时间!
纷繁复杂的挑战让很多企业的领导者焦头烂额!面对这种局面,有没有一个好的解决方法?
7月2日下午,在位于北京嘉里中心11层的CA中国公司,CA高级副总裁兼首席信息官Dave·Hansen和CA大中华区总经理卢汝文面对《IT时代周刊》的提问,侃侃而谈。2个小时的对话中,他们认为企业遭遇信息安全等方面的挑战,归根到底是因为缺少一个统一而简化的IT架构。
最可怕的是内鬼泄密
《IT时代周刊》:目前,很多公司设立了CIO的职位,但在很多情况下只是一个摆设而已。CIO具体负责的工作内容往往受到很多限制,比如从公司运营层面上来说,就很难得到公司董事会的认可。您怎么看待CIO在公司中的职能?
Dave·Hansen:在以前,一家企业如果有IT系统的话,肯定需要有人去管理它。CIO应该是一个管理IT系统的人,只不过在20世纪80年代的时候,出现了“CIO”这样的叫法。当出现“CIO”这个概念的时候,实际上是提升了CIO对于企业的价值和意义,这也是企业必须满足法规遵从和IT治理要求所带来的。
《IT时代周刊》:CIO现在面临着各种挑战,您作为CA的CIO,CA在运营管理方面面临的挑战是不是跟其他企业CIO遭遇的挑战类似?
Dave·Hansen: 从技术的角度来说,以前CIO注重的是IT基础设施的管理,不论是CA,还是IBM、HP,他们都着重于提供这方面的工具。但是,现在CA更加重视的是从业务角度来递送价值。比如说更多地从风险(防范)和法规遵从的角度去协助。CIO所面临的最大挑战是信息安全,特别是来自企业的内鬼。因为,来自外部的攻击可以控制。
《IT时代周刊》:说到内鬼泄密,其中最著名的当属可口可乐公司的泄密事件。有“内鬼”企图将包括其新饮料样品在内的商业机密出卖给其主要竞争对手百事可乐。可口可乐在保密方面一向以严谨出名,其饮料配方已保密长达一百多年。如今出了“内鬼”,暴露出这家百年老店在信息安全管理上的脆弱。类似的事件还发生过么?
Dave·Hansen:我讲一个发生在美国万事达卡国际组织身上的故事。2005年6月17日。美国万事达卡国际组织称,该组织发现包括万事达、维萨、运通、Discover在内高达4000多万信用卡用户的银行资料面临泄密风险,其中万事达信用卡用户达1390万,维萨用户高达2200万。
《IT时代周刊》:他们丢失客户数据的原因是什么?
Dave·Hansen: 对信息安全缺乏足够重视是丢失客户数据的主要原因。据了解,每年为10万家企业处理信用卡信息的这家公司,却很少进行数据检查,直到专业信息安全公司介入调查后,才发现了一个其实并不隐秘的“木马”程序。
《IT时代周刊》:信息安全确实很重要。那么,企业为了防止机密泄露,现在基本上都在采取哪些方法来预防?
卢汝文:信息安全确实让很多企业的领导者伤透了脑筋。为了防止泄密,很多企业采取了各种方法防范,有些比较极端,如规定员工在办公环境下不得使用U盘,普通员工没有权限访问互联网。
《IT时代周刊》:这种治标不治本的方法,根本无法解决企业信息安全问题。企业信息安全仍然面临着巨大的挑战,难道就没有方法解决这个难题吗?
卢汝文:其实,通过IT治理的方法就可以解决企业信息安全的问题,而CA就可以提供全面的模块化IT管理解决方案!
为企业竖起一道安全门
《IT时代周刊》:每一个企业,都有一套自己的安全系统,但为什么还会屡屡发生企业机密外泄的事件呢?
卢汝文:生活在信息时代的人们,已经习惯了同时具备多重身份。通常,一个人都会拥有几个不同的ID账户,也有很多密码。在网络中,拥有了账户和密码,很多时候便可畅行无阻。这种现象对于企业来说,意味着在控制外部人员登录企业系统的同时,也要控制对企业内部系统的访问。有数据显示,企业的安全威胁有很大一部分是来自内部员工的失误或者管理不当,而核心技术人员别有用心的越权操作,更会给企业带来无法估量的损失。
《IT时代周刊》:企业在安装了CA的企业管理软件后,有成功拦截过来自内部员工偷取机密的事件吗?
卢汝文:有!在台湾省台积电公司就发生过这样的事。根据我们数据库的记录,发现有一个人正试图破解安全防护系统,进入保险库。然而,在一阵徒劳的努力之后,他最终无功而返。这个人不是别人,正是台积电公司的某工程师,但是他的级别不够进入保险库。而每个月,和他一样想对保险库一探究竟,进而顺手牵羊的工程师还有好几个。他们所不知道的是,他们对保险库安全系统的每次攻击,都被记录在案。
《IT时代周刊》:CA公司的这种安全概念是什么时候推出来的?
Dave·Hansen:在2002年,CA就开始理顺安全概念,并将信息安全概括为身份和访问管理、安全信息管理和威胁管理3部分。CA不再把信息安全仅仅当作一种科学技术,而把它看作管理、应用的科学。
在此基础上,我们开发了安全成熟度模型,该模型分为3层:防御层、授权层和管理层。防御层是地基,具体表现为入侵检测系统、防病毒软件和防火墙。这一部分是纯粹成本,没有回报;授权层是框架,主要实现接入控制和身份认证,这一部分是有投资回报的;管理层是顶层,对整个安全设备和系统进行统筹管理,以最大程度地发挥企业安全系统的能力,这一部分也包括法规遵从。
1
2
下一页>>
