大家好,很高兴参加的Future S R17“信息安全与业务连续性管理峰会 2009”。今天我主要是想和大家探讨一下在信息安全所面临的严峻的挑战下,我们要怎样去理解,怎样去构建一个多位速效的信息安全。
信息安全的新形势
首先,大家看报纸,看电视可能注意到安全事件在全球各地都在成为头条新闻。因为现在这种情形势下,安全的破坏力,安全的攻击一般存在三种特点:首先规模很大,有点超过以前的,还有就是影响非常大,损失非常大。包括大批量的个人的信息和隐私被盗用,或者企业的重要的资料被竞争对手所获取。
造成这种大规模的信息安全攻击的原因。我们认为首先第一方面是安全威胁的不断增长。 从08年的一个安全调研中我们可以看到在过去几年中,各种安全时期的手段,方式和工具都在成倍的增长,尤其是值得注意的是虽然我们在过去几年在安全管理方面作了大量的工作,从员工内部入侵导致安全损失的比例在过去几年当中增长的速度很快。
另一方面,我们认为当前的安全攻击也出现了质的变化。如果说十年前我们听到有关安全的破坏可能是由于个人的兴趣爱好主动先择一些有漏洞的网络进行破坏从而取得一定的成就感的话,那么当前的安全攻击越来越多则是一种有组织的犯罪行为,已经成为一种隐形攻击或者说地下攻击。如今在国际上几分钱的价格就可能买到一张病毒报,一万美金就可以预定一次对企业的安全攻击的行为。所以这种攻击的复杂程度和使用的手段的先进信息远远超过十年前的攻击。
那么在这种情况下,十年前作为CIO或者安全负责人在IT安全过失上往往负有很少的责任,但是由于现在损失越来越大,所以我们可以看到因为安全损失造成的企业罚款或者解雇高管以及刑事处罚的案例会不断出现。所以说对于CIO或者说安全主管人符合法律法规,严格管理信息安全已经成为一种必然的趋势。那么在这种形势下,其实一个懂得安全合规性是对安全主管负责人的挑战之一。
另外一个方面,作为一个企业,它必须面临一个不断的缩减成本或者说提高整体的运作效率的这样的一种矛盾,所以说怎样平衡这种安全管理的合规性和企业运作成本不断降低的要求的矛盾,以及面临这种全球化的整合。面向协同的业务模式和架构,以及更专业化的威胁。我们大家可以看到,IT的产品消费化的趋势越来越明显。
面对来自这么多方面的压力,我们应该如何去平衡它?根据我们的总结,这些压力因素,主要导致两个业务之间的冲突。这种压力主要来自六个方面。第一个呢就是IT的消费品化。可以说U盘,或者说手机,都可以随时在企业的电脑中进行插卡来获取一些文件的下载,这种具有风险的管理下,企业如何保证信息安全,如何使企业核心的数据得到保护,还有就是协同技术,越来越多的跨企业的信息交换和信息共享,在这种情况下,既要作到能够开放同时又能保护自己的核心资产,还有就是全球化定位,我们既要保护全面的交互开放,同时又因为各个国家在信息管理方面有不同的法律法规。怎样保证这些法律法规能够遵守,这也是面临的另外一个威胁。所以包括专业化等各个压力都是企业必须处理好的一些压力。
CIO 和CISO的挑战
美国一个国家在不同的行业不同的企业要求企业遵守的安全方面的法律法规达到8500多项。所以平衡企业风险涉及到安全威胁和威信投资的各种因素。所以各个行业的CIO都需要知道他们关注的方向。在这个合规性之外呢,我们认为技术发展也对信息安全管理带来了很大的挑战。由于广泛的用户参与。来自任何地方的用户都可以使用各种设备进行信息访问。一些敏感数据很容易就可以暴漏在外面,还有一些服务的空档。还有客户政府和企业之间的数据共享和利益冲突,这些都是在技术层面带来了很多的困难。
我们看到,在技术发展方面首先第一种趋势大家都知道是非常明显的业务驱动力,能够低成本的提高运算的效率。包括能够支持高峰流量等等。但是这个在安全管理方面带来了一个很重要的挑战就是我们的基础设施和我们的计算机资源不再是一个企业能够完全的控制。它所有的运算可能会调用其它个人的甚至其它企业的一些资源。那么这种情况下,如何保护计算机资源,如何作好安全管理这是作为CIO所必须处理的一个重要问题。
第二个特点就是新型系统集成。只要用户把锁定数据模式最基本的行程录入到这个网站,这个网站会根据你的行程到其它的包括天气,包括景点的介绍,包括旅行航空公司的网站,去把所有的跟行程相关的信息从各个合作伙伴这收集起来。然后用户可以自由的进行删改编辑。那这种系统集成在业务上是给客户带来了价值,但是在安全管理方面,如何作好真正的管理,如何在企业数据开放的情况下,信息融合在集成的情况下对这些关键的数据进行有效的保护。这也是面临的一个重要的挑战。
最后我们也看到,在数据管理方面,安全决策在不断的变化。因为大家都知道,数据和信息是企业最重要的一个安全资产。我们相信,在不远的将来对于数据的管理,将会整合到企业的业务流层当中,每一个环节都会加强数据的管控。其实06年,雅虎就开始招聘首席执行官。所以说,以后未来CIO的职责可能越来越多会承担数据的责任。
刚才讲到这么多挑战,那么我们如果要建立一个卓越有效的安全管理体系。作为安全管理的负责人,他所要解决的几个问题,首先,作为一个CIO他必须能够了解目前这个企业是否充分理解业务存在的风险。是否知道目前这个企业安全管理的水平,是否能够看到安全的工作状态。是否能够确认目前的安全投入是否经济有效,尤其是在现在这个全整经济整体下滑的趋势下,这个安全投入效率和产出是一个重要的环节。然后就是安全控制是否有一个相对友好的界面,最后,安全管理是否能保证业务具有相应的业务机会。
如何实现卓越绩效的企业安全
在这种形势和挑战下,我们认为企业怎样才能实现一个卓越有效的安全管理。首先,我们今天的主题是平衡。我们认为平衡安全风险。是很重要的一个过程,就是说我们要在持续的过程当中不断的调整我们的风险策略和风险计划。不断的适应变化的市场压力和业务目标。如果我们对于风险的应对能力和捕捉能力作为两条象限。那我们可以看到企业的安全管理水平在这个象限当中的很多地方。
首先我们追求是企业安全计划需要具备必要的灵活性。这样才能应对业务的增长。但是我们强调的是这种灵活性并不等于事后采取补救措施。我们追求的是主动跟踪业务机会,能够提供灵活安全能力是一种动态平衡。我们的安全计划能够适应业务的变化。保证新的业务模式不受安全的冲击。我们埃森哲公司对各个企业安全管理水平有一个全球性模型。我们认为,在追求卓越绩效过程当中。开始用信息安全成熟度来衡量投资和安全保障风险的价值是非常重要的一个环节。我们希望一个企业在安全管理方面会具有一个成熟的安全管理,指标定义有几个特征,首先定义一个良好的安全战略。然后持续改进,进入下一个重要的挑战。在安全管理的行动计划方面,一方面能够保持优势。另一方面能够预测未来,在安全管理方面所存在的问题。在安全计划能够落地的同时。我们需要在技术引进方面能够保证安全计划能够跟上技术革新的步伐。
实现卓越绩效的企业安全的第一步就是了解当前企业安全的成熟度,然后指定一个发展蓝图来改善其效能。利用实践证明有效地无不方法论,基于安全最佳实践,进行行业标杆对照,分析安全控制活动的优先级和安全能力提升的建设路线,首先是数据的收集,之后进行评分以及差距分析,在通过优先级的评价,最终形成适当的路线图。