在象征着安全与开放的长城脚下,全球信息安全的领袖人物 - EMC公司执行副总裁、EMC信息安全事业部RSA全球总裁亚瑟•科维洛先生(Arthur W. Coviello),在名为“信息风险管理为业务创新加速”的新闻发布会上,与中国媒体共同探讨了当前信息安全的形势和发展趋势。
长城在中国的古代曾经是防御的象征,是“边界安全”的真实写照。如今,大型组织机构如何面对信息高速流动,海量增长和网络化的情况下做好信息的风险管理,传统的边界安全无法实现对流动信息全方位的有效的信息防护。
在新闻发布会上,亚瑟•科维洛先生提出,信息是业务流程和制度创新的中心。因此,有效管理信息相关的风险至关重要。信息风险管理是以信息为中心的战略,它提供了最有效的手段以识别,评估和减轻信息在其整个生命周期暴露出来的风险。信息风险管理追踪着信息在其整个生命周期被创建,分发,存储,复制,转化及交互的路径。这个“路径”提供了一个整体的观点,在此基础上企业可以制定一个全面的降低信息风险战略。信息风险管理是目前国际上公认的信息安全防护主流趋势.
亚瑟•科维洛指出,信息风险管理理应成为业务创新的“加速器”,而非业务创新的“绊脚石”。
CIO对于信息风险管理的态度可分为三个层次,即“恐惧—遵从—与业务挂钩”。曾经,CIO对IT安全心存恐惧,认为IT安全意味着灾难,及对业务发展的阻碍;摩托罗拉副总裁兼首席安全官比尔•邦尼曾表示:通常,在大多数全球组织中,安全问题最多被认为是一种不可避免的灾难,更常见的是被认为是一项必要的摩擦。在这种情况下,安全措施把重点放在了预防负面事件发生的约束行为上,安全从业者成为阻碍业务创新的人。当法规遵从成为强制时,CIO往往迫于法规遵从的压力而实施相应的安全措施;RSA与IDC近日联合进行的一项调查表明,对于法规遵从的恐惧依然是CIO重视信息安全的主要驱动力。未来,CIO应正视信息风险管理对业务的促进作用,并采取积极主动的态度。
根据业届知名的调研公司的报告,2001年,全球信息安全支出总额占IT投资的百分比仅为1.5%,大概是150亿美元。到了2006年,这一比例上升到3.0%,约为350亿美元。预计到2009年将提高到5.0%,高达550亿美元。可见,企业对于信息安全的投入正在大幅度增加,尽管这样,但实际上企业的整体安全感并没有得到相应提高。企业IT环境看上去风平浪静,实则危机四伏。
信息安全贯穿于信息资产和信息系统的整个生命周期,而威胁的来源则多样化,可能来自于内部破坏、外部攻击、人为疏忽以及自然危害等,风险意味着潜在的损失,如果企业能够有效了解、管理和控制风险,则可化腐朽为神奇,为业务创新带来巨大的回报。调查表明,如果在受到攻击时,企业已采取了基本的安全控制,那么87%被调查的破坏都是可以避免的。毫无疑问,在适宜的整体环境下,更全面的信息风险管理将带来更多的商业价值。在安全性足够高的信息保障下,企业的核心业务资产也以一种恰当的方式得到了保护。同时,企业可藉此部署可重复性解决方案——可满足企业多方面需求的方案,弃用功能有限的局部解决方案,即传统的“头痛医脚,脚痛医脚”的做法,科维洛指出,成功的信息风险管理策略,必然与业务创新挂钩,以信息为核心,基于风险/回报模式,进行整体、全面的战略布局并且是可重复的流程化管理。CIO及安全专家应高瞻远瞩,在部署信息风险管理时,不应只会对业务创新说“不”,而应指明“如何帮助”业务创新。
科维洛认为如何使信息安全成为企业业务创新的战略考量, CIO们需要做以下事情:对信息安全有正确的认识;懂得业务并为业务着想;识别并抓住为业务增值的机会;建立关系并赢取影响力;成为风险/回报的分析专家;建立可重复的流程;保留战略思考的时间。
综合而言,企业的CIO、CSO等决策人员,应关注风险/回报的平衡,以最大程度促进业务创新;监管者应以信息为中心,关注法规制定的结果;IT厂商则应开发基于内容/行为的动态信息安全解决方案,以实现在政策性和强制行基础上的IT风险管理流程自动化。
科维洛还预估了未来的信息风险管理技术趋势:在人类世界,人们以动态行为为基础建立信任。未来,信息风险管理应回归人类本身,致力于创建一种可模仿人类思考且足够安全的动态系统。企业现在所需的是如同人类大脑般,具备思考力和灵活性的信息风险管理系统。
同时,科维洛详细介绍了10月27号举办的RSA2008欧洲大会的最新情形,RSA在会上发布了最新的调研报告、产品与技术。其中,第七次年度无线安全调查表明,由于加密的WI-FI 很脆弱,企业和个人的资产、声誉面临着极大的风险;RSA新推出的产品包括RSA SecurIDreg; Appliance解决方案、升级的RSA SecurID混合验证器以及新型RSAreg;赋权政策管理器软件, 意味着RSA在维持了风险、成本和便利之间的平衡的同时,将引领下一代安全访问管理趋势。
在科维洛访华期间,科维洛还与相继信息安全相关政府部门、客户以及业务合作伙伴见面。
