信息是企業(yè)的命脈，有價(jià)值的企業(yè)數(shù)據(jù)可供員工、業(yè)務(wù)伙伴和承包商通過(guò)本地、云計(jì)算和虛擬環(huán)境來(lái)訪問(wèn)， 提供對(duì)非公開重要信息的即時(shí)訪問(wèn)。但是，員工經(jīng)常在未經(jīng)允許的情況下加載第三方軟件或者應(yīng)用程序到他們的筆記本和智能手機(jī)上，并且這些設(shè)備都被連接到企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)存儲(chǔ)中。

“信息無(wú)處不在”帶來(lái)便利和創(chuàng)造商業(yè)價(jià)值的同時(shí)，也帶來(lái)風(fēng)險(xiǎn)。雖然企業(yè)想要支持設(shè)備、軟件和應(yīng)用程序使員工能夠順利完成工作，但企業(yè)也必須非常仔細(xì)地監(jiān)督和管理與使用這些信息和IT有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)。

針對(duì)信息無(wú)處不在的解決方案就是信息安全無(wú)處不在，但是這是不切實(shí)際且無(wú)法實(shí)現(xiàn)的。企業(yè)需要確定什么時(shí)候便利會(huì)導(dǎo)致很大的風(fēng)險(xiǎn)以及應(yīng)該怎樣做來(lái)限制風(fēng)險(xiǎn)。這是一個(gè)很大的挑戰(zhàn)，特別當(dāng)你考慮到大多數(shù)企業(yè)都不能回答這個(gè)簡(jiǎn)單的問(wèn)題，“我們企業(yè)現(xiàn)在的信息風(fēng)險(xiǎn)是什么?”

根據(jù)IT Policy Compliance Group關(guān)于與信息使用和IT資源有關(guān)的企業(yè)風(fēng)險(xiǎn)的研究顯示，政策合規(guī)只有8%的企業(yè)可以確定目前企業(yè)的信息風(fēng)險(xiǎn)情況。此外，2%的企業(yè)根本無(wú)法回答這個(gè)問(wèn)題，或者9個(gè)月或9個(gè)月以上才能給出答案，70%的企業(yè)不能在3個(gè)月內(nèi)回答這個(gè)問(wèn)題，20%需要一個(gè)星期到三個(gè)月。定義不清的企業(yè)風(fēng)險(xiǎn)、不適當(dāng)?shù)男畔⑹占?、裝備不良的報(bào)告系統(tǒng)和非優(yōu)先控制都是導(dǎo)致這些不合理延誤的原因。

合理分配優(yōu)先級(jí)別

IT Policy Compliance Group發(fā)現(xiàn)在企業(yè)為迎接信息無(wú)處不在的挑戰(zhàn)而做的充足準(zhǔn)備與定義和管理企業(yè)風(fēng)險(xiǎn)之間存在明顯差異。與使用IT資源有關(guān)的風(fēng)險(xiǎn)最低的企業(yè)能夠馬上回答其企業(yè)目前的信息風(fēng)險(xiǎn)情況，因?yàn)樗麄儾渴鹆苏_的企業(yè)流程、控制和報(bào)告系統(tǒng)。

這些企業(yè)通常是從上自下來(lái)定義業(yè)務(wù)風(fēng)險(xiǎn)，然后再確定其優(yōu)先次序。風(fēng)險(xiǎn)主要來(lái)自日常業(yè)務(wù)職能的執(zhí)行，它們包括管理現(xiàn)金、采購(gòu)風(fēng)險(xiǎn)、帳號(hào)安全、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、市場(chǎng)集中風(fēng)險(xiǎn)、監(jiān)管風(fēng)險(xiǎn)、競(jìng)爭(zhēng)風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)。

最成功的企業(yè)會(huì)利用多個(gè)部門和職能的技能來(lái)定義和管理與使用IT資源有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)。更多利益相關(guān)者的參與能夠幫助企業(yè)優(yōu)先考慮外部壓力、業(yè)務(wù)風(fēng)險(xiǎn)，確定與使用信息和IT資源有關(guān)的核心企業(yè)風(fēng)險(xiǎn)，并使用報(bào)告系統(tǒng)來(lái)更好地監(jiān)控、管理和平衡政策、風(fēng)險(xiǎn)、異常和控制的平衡。

關(guān)于IT控制和操作流程，業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)通常部署了幾個(gè)獨(dú)特的做法。幾乎有四分之三的企業(yè)會(huì)定期對(duì)敏感信息資產(chǎn)進(jìn)行分類，并根據(jù)對(duì)關(guān)鍵信息的訪問(wèn)權(quán)來(lái)確定IT資產(chǎn)，幾乎有三分之二會(huì)對(duì)敏感信息的存儲(chǔ)位置進(jìn)行存檔，檢測(cè)或預(yù)防敏感信息的泄漏，并使用信息安全控制來(lái)保護(hù)敏感信息。

此外，IT Policy Compliance Group還發(fā)現(xiàn)，企業(yè)間選擇評(píng)估的風(fēng)險(xiǎn)和控制比率也十分不同。風(fēng)險(xiǎn)和控制的評(píng)估的間隔時(shí)間以及運(yùn)行時(shí)間都與最終結(jié)果有直接的關(guān)系，業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)部署了最頻繁的風(fēng)險(xiǎn)和控制評(píng)估，并且在評(píng)估(每周到每?jī)蓚€(gè)月)間的運(yùn)行之間也很短，而頻率是每季度或者間隔更長(zhǎng)的企業(yè)則風(fēng)險(xiǎn)最高。

自動(dòng)化帶來(lái)更好的結(jié)果

收集信息以及生成關(guān)于信息風(fēng)險(xiǎn)和控制的報(bào)告的自動(dòng)化水平也同樣與實(shí)現(xiàn)更好的結(jié)果有著直接關(guān)系。簡(jiǎn)單地說(shuō)，表現(xiàn)最差的企業(yè)部署著最少的自動(dòng)化程序，而表現(xiàn)最好的企業(yè)則部署了最多的自動(dòng)化程序來(lái)收集信息和生成關(guān)于操作、財(cái)務(wù)、聲譽(yù)和品牌風(fēng)險(xiǎn)的報(bào)告。

業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)將圍繞IT控制和企業(yè)流程的信息收集進(jìn)行自動(dòng)化處理，并且對(duì)業(yè)務(wù)風(fēng)險(xiǎn)和信息以及IT資源的使用生成報(bào)告。IT Policy Compliance Group發(fā)現(xiàn)，表現(xiàn)最好的企業(yè)中，80%的企業(yè)都將信息收集流程和生成(與使用信息和IT資產(chǎn)有關(guān)的)業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告進(jìn)行了自動(dòng)化。

相比之下，丟失數(shù)據(jù)或者被盜數(shù)據(jù)最多的企業(yè)通常都是業(yè)務(wù)停機(jī)時(shí)間最長(zhǎng)和最難維持審計(jì)結(jié)果的企業(yè)，通常他們只有11%到12%的信息收集和生成報(bào)告流程是自動(dòng)化的。

利用有效的報(bào)告來(lái)顯示風(fēng)險(xiǎn)情況

在業(yè)務(wù)風(fēng)險(xiǎn)最低的企業(yè)，不僅具有更高度自動(dòng)化的流程，而且還有更頻繁的報(bào)告，關(guān)于業(yè)務(wù)影響摘要、異常報(bào)告、重點(diǎn)報(bào)告和基于web的儀表板。

這些關(guān)于業(yè)務(wù)風(fēng)險(xiǎn)的企業(yè)報(bào)告主要根據(jù)優(yōu)先次序、涉及的IT資產(chǎn)類型以及各種IT控制，特別是關(guān)于IT資產(chǎn)配置檢查失敗來(lái)標(biāo)記和確定信息和系統(tǒng)完整中存在的不一致性。

他們還包括管理總結(jié)報(bào)告中的IT有效性指標(biāo)，來(lái)顯示IT服務(wù)水平的可用性、IT資產(chǎn)和信息的完整性、財(cái)務(wù)系統(tǒng)和信息的完整性、客戶數(shù)據(jù)的完整性、敏感企業(yè)數(shù)據(jù)的完整性，以及審計(jì)和信息安全控制的完整性。

IT Policy Compliance Group的研究還顯示，定期報(bào)告IT界互聯(lián)網(wǎng)安全威脅變化以及對(duì)業(yè)務(wù)部門和職能部門的影響的企業(yè)能夠獲得更高的安全性。他們使用這些信息來(lái)預(yù)測(cè)業(yè)務(wù)風(fēng)險(xiǎn)和控制間的平衡，從而來(lái)管理風(fēng)險(xiǎn)和確定早期警告來(lái)將信息丟失、盜竊和業(yè)務(wù)停機(jī)時(shí)間到合理的和可管理的水平。

知道信息的去向能夠更好地協(xié)助首席執(zhí)行官、首席信息官、首席財(cái)務(wù)官、部門經(jīng)理、業(yè)務(wù)部門經(jīng)理、首席信息安全官、IT運(yùn)營(yíng)經(jīng)理和涉及管理信息使用的業(yè)務(wù)風(fēng)險(xiǎn)的有關(guān)人員來(lái)進(jìn)行決策，這與報(bào)告同意重要，能夠?yàn)槠髽I(yè)不同的決策者提供清晰明確的信息。Web數(shù)據(jù)表是管理業(yè)務(wù)風(fēng)險(xiǎn)最受歡迎的格式，因?yàn)樗鼈兡軌蛱峁┻@樣的優(yōu)勢(shì)，例如根據(jù)顏色來(lái)分類風(fēng)險(xiǎn)等。

開始回答問(wèn)題

沒有快速準(zhǔn)確判斷企業(yè)信息風(fēng)險(xiǎn)的能力，很多企業(yè)會(huì)在事故發(fā)生后發(fā)現(xiàn)，風(fēng)險(xiǎn)狀況以及信息安全方案和控制能夠減輕風(fēng)險(xiǎn)。

很顯然，能夠在一天內(nèi)回答“信息風(fēng)險(xiǎn)狀況如何”的問(wèn)題的8%的企業(yè)處理的方式完全不同，并且也得到了回報(bào)。這些企業(yè)有最高的業(yè)務(wù)服務(wù)水平，最低的(與使用信息和IT資產(chǎn)有關(guān)的)操作和財(cái)務(wù)風(fēng)險(xiǎn)，最低的數(shù)據(jù)丟失或盜竊率，最少的業(yè)務(wù)停機(jī)時(shí)間，因?yàn)镮T很少出現(xiàn)故障，并且只需要花最少的開支來(lái)維持監(jiān)管審計(jì)。

試圖阻止員工和業(yè)務(wù)伙伴使用新型強(qiáng)大的客戶設(shè)備是無(wú)望的，相反地，企業(yè)需要將重點(diǎn)放在確定風(fēng)險(xiǎn)上面，簡(jiǎn)歷風(fēng)險(xiǎn)優(yōu)先次序、自動(dòng)化流程來(lái)收集信息和生成可用的報(bào)告，并且是能夠向其他高級(jí)管理員說(shuō)明問(wèn)題的報(bào)告。

【編輯推薦】

1. 網(wǎng)絡(luò)安全度量標(biāo)準(zhǔn)：基本的網(wǎng)絡(luò)安全控制評(píng)估
2. 神州數(shù)碼品眾科技防止信息外泄 應(yīng)用IP-guard分級(jí)權(quán)限管理
3. 內(nèi)網(wǎng)安全建設(shè)之路 從上網(wǎng)行為管理到信息資產(chǎn)防護(hù)
4. 監(jiān)控員工上網(wǎng)行為 企業(yè)管理必然選擇
5. 探討阻礙有效管理信息安全風(fēng)險(xiǎn)的文化障礙