在企业内部,IT部门主要是为业务部门提供技术支持。如果业务部门和IT部门之间出现沟通障碍,企业IT资源就会处于风险之中。
许多用户在安全投资方面存在浪费现象,这在很大程度上是因为业务部门和IT部门意见分歧所导致。IT人员注重利用技术手段降低安全威胁,而业务经理则更关注业务流程是否能够顺利进行。安全设施应当与业务需求直接关联,而不是根据假定威胁来确定。如果一味地从技术角度来谈论安全,真正的业务要求就无法得到满足。
将安全性融入业务中的有效措施是:企业业务领导与IT管理层之间达成有效共识,从而保证IT人员把工作重点放在保护业务价值方面。如果IT人员不能正确理解业务需求,就会导致公司网络处在很大的风险之中。为了反映业务部门和IT部门各自的需求并达成有效共识,IT人员和业务人员都应注意以下四个问题:
● 验证:“你是谁?”
● 授权:“你的职责是什么?”
● 管理:“如何管理用户和资源?”
● 审查:“发生了什么事?”
例如,在工作中,业务部门需要在一定程度上了解客户存在哪些网络应用,保证客户在这些应用上做自己想做的任何事情,由于客户数量众多,所做的事情也是千差万别,因此业务经理需要一种简便的方法来管理客户的访问行为,并在每天或每个季度结束时得到一份报告,用来了解谁做了什么和发生了什么事情,然后利用这份报告来改善服务质量、提高效率和增加利润。
验证
验证是一个口令域,用于确定授权和单一登录。通常业务部门对具体技术细节并不感兴趣,而只关心了解谁在使用网络应用。例如有些时候,业务部门只需要知道客户的名称。而在其他一些时候,业务部门需要通过验证的手段明确无误地核实高价值客户的身份。而在IT部门看来,业务部门只是在描述验证的质量,每种质量都可以映射到一个特定的验证类型。
通过使用同一种验证语言,业务部门和IT部门便可以相互明确地通报各自的要求。业务部门可以正确无误地了解用户的身份,或者其应用要求,然后业务部门将确定用户能承受多少费用或不便。有了这些信息,IT部门可以直接将这些要求映射到适当的验证类型和基础设施上。
为了了解用户身份的验证需求,业务部门应当考虑如下四个方面:
● 水平:需要用多高的确定性或准确性来了解用户的身份?
● 价值:典型的交易或用户会话具有怎样的财务价值或安全风险?
● 影响: 对用户产生的影响是什么?需要考虑的是,更强大的验证通常都对用户或工作站实施某种程度的控制。
● 成本:与其他备用方式相比,某种验证技术的成本是多少?
授权
与验证类似,授权对于业务部门和IT部门的意味也是不同的。在业务部门看来,授权代表的不是防火墙、反病毒和加密模式,而是确保用户能够轻松访问任何所需的应用或数据。业务部门知道如何确定授权的级别,但业务部门不可能告诉IT部门应当开放防火墙上的哪些端口,或如何构建访问控制列表。业务经理在授权方面需要考虑以下四个问题:
● 水平:特定数据需要何种水平的保密性或完整性?
● 价值:某一应用所使用的数据对于公司具有多高的价值?
● 影响:用户能够在这些使用数据方面承受多少不便或限制?
● 成本:与保护措施的成本相比,如果某一特定应用中的数据如果在未经授权的情况下泄露,其造成的成本有多高?
管理
从技术上来说,管理就是创建用户名、改变口令、建立基于任务的档案、将这些档案提供给目标资源并建立下级管理层。但业务经理只是将管理当作一种方法来使用,目的是确保所有的用户都可以访问适当的文件和应用。为了确保IT部门实施必须的控制台、工具和过程来管理用户及其相对于目标资源的权限,业务经理需要考虑如下一些问题:
● 水平:用户离职后,需多长时间停止其访问权?
● 价值:最终用户有权访问哪些企业应用?
● 影响:用户在多大程度上受到企业的影响或控制?
● 成本:管理每个用户需要花费的时间或精力?
如果类似业务计划的要求都已经确定,IT部门将掌握这些信息并确定最有效的用户管理方法和权限。IT部门可以针对多个业务应用建立起一个高效的业务流程。这可能包括在整个企业或业务伙伴中采用基于任务的管理、实施管理的自动化和指定下级管理员。
审查
业务经理通常认为审查只是一种报告,用来回答的仅是些简单的问题。事实上,这些报告是非常有用的,可以帮助业务部门了解用户是否能够及时、有效的访问到所需资源以及服务质量的高低,同时克服掉不必要的障碍。
而在另一方面,技术人员则将大量的精力放在系统层事件上,试图寻找其中的异常现象、罕见的黑客攻击以及其他恶意行为。IT部门还会部署各种类型的监视器、日志合并设备、报告控制台、和报警机制,从而发现潜伏的异常或威胁。IT部门从来不会想到真正的威胁可能导致的次要风险。
业务经理可以在这一过程中起到很好的作用,帮助IT部门实施有效的审查。但业务经理必须考虑如下四个问题:
● 水平:审查报告中应当包含什么类型的信息和详情?
● 价值:审查报告应当遵守哪些商业要求和规定?
● 影响:谁会使用这些信息,以及怎样使用?
● 成本:在特定时间段内要生成多少这类报告?
相应的,IT部门的人员除了掌握这些信息,同时还应考虑到在授权一节中确定的哪些数据有受到威胁的可能性,确保制定的审查措施能够有效检测到可能的恶意行为和异常。同时,IT部门应当确保向业务经理提供最有用的报告。对于某些特定级别的事件还可以进行实时审查,并对其级别进行适当的趋势分析。
TCO和ROI
在讨论任何一个安全项目时,用户必需要考虑ROI(投资回报)或TCO(总体拥有成本)。如果某一个方案具备足够的效率和效能,几乎能够完全满足用户的要求,就没有必要去考虑那些具备更多特性,但也更为昂贵的方案。
对成本的过分在意往往导致人们忽视其中存在的利润。用户应当根据自己的业务和技术要求来找出一个利润最大的解决方案,然后再看其他利润相对比较低的解决方案。在这一过程中,一定要记住考虑自己的实际需要并确定哪个方案最适合自己的需要,然后再考虑成本。选择方案时,最关键的是使利润最大化,而不是使省钱最大化。
