| |
制定恰当的信息安全规划
| |
铭万网
|
时间:
2007年11月15日16:02
|
信息来源:
| | 编 者 按 :事实上,绝对的安全是做不到的,也是不需要的。企业需要做的是,通过恰当的安全控制,寻求将风险减少到可接受的水平。而在这一过程中,将精力放在制定有效的战略规划,可以更好地帮助企业走出危机四伏的困境。
|
“让我们假设你拥有的一家企业是使用密码来远程访问邮件。”美电话电报公司的Amoroso表示,“我不能告诉你明天或是下周将会被黑客侵入。但我能告诉你如果采用双重认证机制你将能解决更多因改变而卡死的问题。退一步来说,这是一个明智的决定,即使一个蠕虫发动密码从现在起的一年内不断地发起密码猜测攻击,也不会对于我们的用户产生任何影响。”
当然,如果你希望做到面面俱到时,万事开头难,计划刚开始的第一步往往总是不容易的。但做好第一步接下来战略规划过程将更容易。一旦你开始进行,计划必须得到不断的更新,而不是只是按一种套路走。“这只是工作的一部分。”美信诺保险公司(Cigna)首席信息安全官兼高级副总裁Craig Shumard表示。他说,他的整个部门都在组织收集此类情报为战略制定服务,有些负责风险评估,有些负责创建记分卡,其余的也各有各的工作,井井有条并不断激励着他。相比这些行为他甚至不能确定有多少时间花在拟订战略上。
只要你越深入一个战略模式,你就会花越多时间在最重要的部分——商业价值的创造上。“总是会有一些回应。”普华永道的Quinnild表示,“只要更好地前期规划,CSO们就不用总是忙着解决出现的问题,而可以释放出更多的时间来帮助企业来做些想做的事。我们的许多客户表示‘大部分时间都用在碰到问题后恢复上’,这多少就是由于没有一个具体战略。我的回答是不必解决这个问题不是更好吗?”
当然还有另一点,这对安全部门来说也是个赢取商业信誉的机会。“没有战略规划,我们只能被动地解决一个又一个问题、一次又一次危机。”英美烟草公司的Burrill表示,“如果做了战略规划,那么安全功能将一直保持其他功能所缺乏的真正意义。安全防护现在几乎还只处于成长阶段,将慢慢成长成熟,达到应有的可信度。”
作者:李华
|
上一页 [1] [2] [3] [4] [5]
| | | |
本网引文仅用于传播,无经营目的;文章观点纯属作者个人意见,不代表本网观点;与本文相关意见及异议,请发信至zhaofeng@mainone.cn或致电:58271212-545。
| | |
| | | |
|
