如何鑒定企業(yè)信息安全風(fēng)險
信息是企業(yè)的命脈,有價值的企業(yè)數(shù)據(jù)可供員工、業(yè)務(wù)伙伴和承包商通過本地、云計算和虛擬環(huán)境來訪問, 提供對非公開重要信息的即時訪問。但是,員工經(jīng)常在未經(jīng)允許的情況下加載第三方軟件或者應(yīng)用程序到他們的筆記本和智能手機(jī)上,并且這些設(shè)備都被連接到企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)存儲中。
“信息無處不在”帶來便利和創(chuàng)造商業(yè)價值的同時,也帶來風(fēng)險。雖然企業(yè)想要支持設(shè)備、軟件和應(yīng)用程序使員工能夠順利完成工作,但企業(yè)也必須非常仔細(xì)地監(jiān)督和管理與使用這些信息和IT有關(guān)的業(yè)務(wù)風(fēng)險。
針對信息無處不在的解決方案就是信息安全無處不在,但是這是不切實(shí)際且無法實(shí)現(xiàn)的。企業(yè)需要確定什么時候便利會導(dǎo)致很大的風(fēng)險以及應(yīng)該怎樣做來限制風(fēng)險。這是一個很大的挑戰(zhàn),特別當(dāng)你考慮到大多數(shù)企業(yè)都不能回答這個簡單的問題,“我們企業(yè)現(xiàn)在的信息風(fēng)險是什么?”
根據(jù)IT Policy Compliance Group關(guān)于與信息使用和IT資源有關(guān)的企業(yè)風(fēng)險的研究顯示,政策合規(guī)只有8%的企業(yè)可以確定目前企業(yè)的信息風(fēng)險情況。此外,2%的企業(yè)根本無法回答這個問題,或者9個月或9個月以上才能給出答案,70%的企業(yè)不能在3個月內(nèi)回答這個問題,20%需要一個星期到三個月。定義不清的企業(yè)風(fēng)險、不適當(dāng)?shù)男畔⑹占⒀b備不良的報告系統(tǒng)和非優(yōu)先控制都是導(dǎo)致這些不合理延誤的原因。
合理分配優(yōu)先級別
IT Policy Compliance Group發(fā)現(xiàn)在企業(yè)為迎接信息無處不在的挑戰(zhàn)而做的充足準(zhǔn)備與定義和管理企業(yè)風(fēng)險之間存在明顯差異。與使用IT資源有關(guān)的風(fēng)險***的企業(yè)能夠馬上回答其企業(yè)目前的信息風(fēng)險情況,因為他們部署了正確的企業(yè)流程、控制和報告系統(tǒng)。
這些企業(yè)通常是從上自下來定義業(yè)務(wù)風(fēng)險,然后再確定其優(yōu)先次序。風(fēng)險主要來自日常業(yè)務(wù)職能的執(zhí)行,它們包括管理現(xiàn)金、采購風(fēng)險、帳號安全、信用風(fēng)險、法律風(fēng)險、市場集中風(fēng)險、監(jiān)管風(fēng)險、競爭風(fēng)險、聲譽(yù)風(fēng)險和操作風(fēng)險。
最成功的企業(yè)會利用多個部門和職能的技能來定義和管理與使用IT資源有關(guān)的業(yè)務(wù)風(fēng)險。更多利益相關(guān)者的參與能夠幫助企業(yè)優(yōu)先考慮外部壓力、業(yè)務(wù)風(fēng)險,確定與使用信息和IT資源有關(guān)的核心企業(yè)風(fēng)險,并使用報告系統(tǒng)來更好地監(jiān)控、管理和平衡政策、風(fēng)險、異常和控制的平衡。
關(guān)于IT控制和操作流程,業(yè)務(wù)風(fēng)險***的企業(yè)通常部署了幾個獨(dú)特的做法。幾乎有四分之三的企業(yè)會定期對敏感信息資產(chǎn)進(jìn)行分類,并根據(jù)對關(guān)鍵信息的訪問權(quán)來確定IT資產(chǎn),幾乎有三分之二會對敏感信息的存儲位置進(jìn)行存檔,檢測或預(yù)防敏感信息的泄漏,并使用信息安全控制來保護(hù)敏感信息。
此外,IT Policy Compliance Group還發(fā)現(xiàn),企業(yè)間選擇評估的風(fēng)險和控制比率也十分不同。風(fēng)險和控制的評估的間隔時間以及運(yùn)行時間都與最終結(jié)果有直接的關(guān)系,業(yè)務(wù)風(fēng)險***的企業(yè)部署了最頻繁的風(fēng)險和控制評估,并且在評估(每周到每兩個月)間的運(yùn)行之間也很短,而頻率是每季度或者間隔更長的企業(yè)則風(fēng)險***。
自動化帶來更好的結(jié)果
收集信息以及生成關(guān)于信息風(fēng)險和控制的報告的自動化水平也同樣與實(shí)現(xiàn)更好的結(jié)果有著直接關(guān)系。簡單地說,表現(xiàn)最差的企業(yè)部署著最少的自動化程序,而表現(xiàn)***的企業(yè)則部署了最多的自動化程序來收集信息和生成關(guān)于操作、財務(wù)、聲譽(yù)和品牌風(fēng)險的報告。
業(yè)務(wù)風(fēng)險***的企業(yè)將圍繞IT控制和企業(yè)流程的信息收集進(jìn)行自動化處理,并且對業(yè)務(wù)風(fēng)險和信息以及IT資源的使用生成報告。IT Policy Compliance Group發(fā)現(xiàn),表現(xiàn)***的企業(yè)中,80%的企業(yè)都將信息收集流程和生成(與使用信息和IT資產(chǎn)有關(guān)的)業(yè)務(wù)風(fēng)險報告進(jìn)行了自動化。
相比之下,丟失數(shù)據(jù)或者被盜數(shù)據(jù)最多的企業(yè)通常都是業(yè)務(wù)停機(jī)時間最長和最難維持審計結(jié)果的企業(yè),通常他們只有11%到12%的信息收集和生成報告流程是自動化的。
利用有效的報告來顯示風(fēng)險情況
在業(yè)務(wù)風(fēng)險***的企業(yè),不僅具有更高度自動化的流程,而且還有更頻繁的報告,關(guān)于業(yè)務(wù)影響摘要、異常報告、重點(diǎn)報告和基于web的儀表板。
這些關(guān)于業(yè)務(wù)風(fēng)險的企業(yè)報告主要根據(jù)優(yōu)先次序、涉及的IT資產(chǎn)類型以及各種IT控制,特別是關(guān)于IT資產(chǎn)配置檢查失敗來標(biāo)記和確定信息和系統(tǒng)完整中存在的不一致性。
他們還包括管理總結(jié)報告中的IT有效性指標(biāo),來顯示IT服務(wù)水平的可用性、IT資產(chǎn)和信息的完整性、財務(wù)系統(tǒng)和信息的完整性、客戶數(shù)據(jù)的完整性、敏感企業(yè)數(shù)據(jù)的完整性,以及審計和信息安全控制的完整性。
IT Policy Compliance Group的研究還顯示,定期報告IT界互聯(lián)網(wǎng)安全威脅變化以及對業(yè)務(wù)部門和職能部門的影響的企業(yè)能夠獲得更高的安全性。他們使用這些信息來預(yù)測業(yè)務(wù)風(fēng)險和控制間的平衡,從而來管理風(fēng)險和確定早期警告來將信息丟失、盜竊和業(yè)務(wù)停機(jī)時間到合理的和可管理的水平。
知道信息的去向能夠更好地協(xié)助***執(zhí)行官、***信息官、***財務(wù)官、部門經(jīng)理、業(yè)務(wù)部門經(jīng)理、***信息安全官、IT運(yùn)營經(jīng)理和涉及管理信息使用的業(yè)務(wù)風(fēng)險的有關(guān)人員來進(jìn)行決策,這與報告同意重要,能夠為企業(yè)不同的決策者提供清晰明確的信息。Web數(shù)據(jù)表是管理業(yè)務(wù)風(fēng)險***的格式,因為它們能夠提供這樣的優(yōu)勢,例如根據(jù)顏色來分類風(fēng)險等。
開始回答問題
沒有快速準(zhǔn)確判斷企業(yè)信息風(fēng)險的能力,很多企業(yè)會在事故發(fā)生后發(fā)現(xiàn),風(fēng)險狀況以及信息安全方案和控制能夠減輕風(fēng)險。
很顯然,能夠在一天內(nèi)回答“信息風(fēng)險狀況如何”的問題的8%的企業(yè)處理的方式完全不同,并且也得到了回報。這些企業(yè)有***的業(yè)務(wù)服務(wù)水平,***的(與使用信息和IT資產(chǎn)有關(guān)的)操作和財務(wù)風(fēng)險,***的數(shù)據(jù)丟失或盜竊率,最少的業(yè)務(wù)停機(jī)時間,因為IT很少出現(xiàn)故障,并且只需要花最少的開支來維持監(jiān)管審計。
試圖阻止員工和業(yè)務(wù)伙伴使用新型強(qiáng)大的客戶設(shè)備是無望的,相反地,企業(yè)需要將重點(diǎn)放在確定風(fēng)險上面,簡歷風(fēng)險優(yōu)先次序、自動化流程來收集信息和生成可用的報告,并且是能夠向其他高級管理員說明問題的報告。
【編輯推薦】
