信息安全从技术角度来看,有5条基本原则,从管理角度来看也有5条基本原则。
技术角度的5条准则:
强密码
操作系统打补丁
第三方应用打补丁
应用白名单
加密
技术的事就交给极客去做吧,但在决定公司应该承担什么风险上,还是需要加入点管理技巧的。这些风险可能包括:
超出预算
生产力下降
数据泄露
不敢冒风险
不作为
你是冒险者吗?为驱动公司前进,敢冒多大风险?很大的风险?拉斯维加斯级别的风险?
公司就是由风险和回报组成的,这不是什么秘密。作为处于游戏顶层的高管,我们知道如果不承担风险也就没有回报,风险是必需品。
风险变数很多,所以我们有风险经理,有商业情报软件,有行业白名单,有顾问,当然,还有我们的直觉、动力和野心。我们能做的最好的事,就是尽可能多地找出牵涉到的风险,将它们都研究透,然后基于风险回报率做出决策,奋力一搏。
再把前美国国防部长唐纳德·拉姆斯菲尔德的那段名言搬出来:
有已知的已知,我们知道自己知道。有已知的未知,我们知道自己不知道。还有未知的未知,我们不知道自己不知道。
IT风险是公司整个风险组成的其中一部分。在很多企业里,IT相关风险被认为是操作风险,比如新巴塞尔资本协定中的金融行业就是这样。然而,即使是战略风险也有可能包含有IT成分,尤其是在IT作为新开拓业务的关键促成要素的情况下。
IT适用领域
信用风险也是如此,糟糕的IT安全可能导致信用评级降低、信誉丧失、合同终止、罚款或诉讼(管制产业)。因此,最好不要依赖其他类型的风险评级来描述IT风险。与IT风险类似,信息安全和隐私风险也不应该被看做“仅IT相关”的问题。
信息安全从业者倾向于处理更复杂的问题。他们会试图向管理层讲述跨站(XSS)、高级持续性威胁(APT)、用户数据报协议(UDP)、传输控制协议(TCP),或者其他什么听起来高大上的东西,但起到的通常是反效果。基本上,只是在暴露自己对业务或者业务运营方式的无知而已。
信息安全投入只有在最终结果是形成业务增长、提高工作效率、获得更多利润的情况下才有意义。利润、奖金、福利、工资、最后结果……如果这些都不考虑,那你要么是慈善机构,要么是政府部门。
拿着剪刀奔跑
无论起伏升跌,脚步不能慢,决策必须做。投资电子邮件系统不是为了封锁病毒或垃圾邮件,而是因为要用它进一步推进我们的使命任务,增加与客户的沟通,提高公司的效率。
高管的首要任务,在于帮助自家价值7亿的公司壮大成价值10亿的。我们不得不拿着剪刀奔跑,而且还得把它们磨得更锋利。
太多失败的安全项目让公司资金打了水漂,且丝毫起不到保护公司资产或客户隐私的效果。某些案例中,这些项目实际上还妨碍了公司是目标。具体参考烦人的美国运输安全管理局(TSA)。
TSA的使命是“保护国家运输系统,确保人民行动自如,商业流通自由”。(最近乘坐过航班的人就知道,空港的行动自如是怎么会事儿了)当然,再没有什么坐轮椅上患脊柱裂的3岁小女孩威胁运输系统安全了。她在经受过空港的“行动自如”体验后早被吓得不敢再乘飞机了。大多数IT安全项目都没抓住重点,尽在需要‘使能’的时候‘阻止’。
信息安全需要给公司注入真正的价值,表现出恰当运营的安全和隐私团队可以降低开支,增加客户和用户满意度,驱动盈利。信息安全从业者应谨记深深刻印在我们脑海里,或者至少常驻屏保中的6条金融术语:底线、毛利率、固定和可变成本、净值和负债、杠杆、资本支出。
信息安全不是火箭科学,不影响业务的情况下降低风险挺难。花在安全和隐私上的钱就是无底洞。我们需要做的,是综合考量安全和隐私决策上愿意冒的风险,以及该怎样最佳化利用预算。使用心理恐怖战术(FUD)来证明安全支出花得值只有3个月的有效期,或者只管用到你终于认识到地狱般的悲惨预测根本没降临。
花出去的第一块钱有98%的效果,第二块钱有97%,依次递减。塔吉特实际上在不过分投入IT安全上,做出了正确的商业决策。是的,它的CIO和CTO确实被解雇了,但塔吉特的股价从2013年11月数据泄露时的每股60美元,上升到了去年7月的每股83美元,现在也还稳定在70美元每股的价位上。
他们做出了错误的安全决策,但商业决策却是正确的。这也就是我们需要CEO和CFO的地方。只要外面理解了商业重点,“协调好IT和业务”,我们就能合作安排好安全预算。
与IT或信息安全的正确合作姿势:成立一个委员会,总监级或更高级别,具备影响公司高层策略的能量。业务部门应主导该委员会的议程,每季度开例会,商讨信息安全问题。当然,供委员会发挥作用的预算是必备的,超出部分必须经由高管层的允许。数次会议之后,信息安全这匹野马也就能被驯服了。你会发现,IT风险在做出的决策下会变得更加温和。
注:火箭科学,在经济学领域是指由专业信息技术人员为管理人员提供投资决策支持的活动,决策支持的细节来自于数学模型的计算结果。
(责任编辑:宋编辑)