据研究统计表明,差不多有85%的安全或风险问题,都来自于企业的内部。而这些风险很大一部分都是来自于企业内部跟IT相关的管理,也就是说现在越来越多的客户认识到安全管理或防范不只是构建一道外界防御的工具。
IBM全球治理与风险管理的战略总监Kristine Lovejoy曾经是一家媒体的编辑,一次她去参观一位用户的数据中心时,工作人员向她开放了自己的全部设备。其中,路由器就放在门口放衣服的地方,没有引起企业的重视。
举这个例子,Kristine想说明,在一个企业中,员工的信息如果不进行量化,会造成很大的风险,因为他们不知道什么是可以透露的信息,什么是不能泄漏的信息,以及他们的安全级别。
根据一家研究机构的统计,80%的CIO认为企业的安全措施要从头开始。用户采购了很多相关工具,但是他们互相不关联,不集成,应用起来比较复杂。传统的点到点的安全解决方案不再起作用,容易造成数据孤岛和冗余成本,并且复杂性高、资产应用低效。用户需要一种全新的,基于流程的安全管控方式。
有鉴于此,很多企业开始推广全新的端到端安全解决方案。华为和北电都推出了针对网络的端到端安全解决方案。2006去年10月,IBM耗资十二亿美元收购了ISS,并随即开始将ISS与IBM全球信息科技服务部原有的企业IT安全服务能力进行无缝整合,以期充分利用ISS主动防御集成安全平台以及前瞻性安全解决方案,完善与强化IBM的整体安全架构体系。
我们今天所处的复杂IT环境决定,任何局部的、支零破碎的安全技术或方案都不足以应对形形色色的风险问题。企业需要的是由最先进的产品和技术组成的‘端到端’的风险管理解决方案,只有这样他们才能确保业务数据的安全,并获得对法规遵从性的管理。
且不论这是不是商家的炒作,IT治理到底是蜜糖还是毒药,全看我们怎么行动。橘生淮南则为橘,生于淮北则为枳。但愿IT治理到了中国,不要变成了压垮中国CIO的最后一根稻草。
你信任你的员工吗?
北京一家软件企业很早就有了风险管理意识,比如把研发部门所有台式机的机箱都额外封加一个外壳,所有USB接口也都封锁,所有研发人员只能登录内网,不能浏览外网。“即使更换一个电脑鼠标,也必须告诉公司的IT部门,会有专门人员来进行更换。”
这件事从安全角度反应出了这家公司的企业文化—不太信任员工。从安全的角度看,企业的风险管理容易陷入两个极端:要么充分相信员工,所有的信息资源都共享;要么就是一点都不信任员工。而从风险管理的实质来看,这些都非IT治理的初衷,风险管理和安全管理做到恰如其分,就会使企业业务流程更加自动化和有效。
(责任编辑:朱晶)
<<上一页
1
2
