企业的安全风险如何管理,什么是安全风险管理中的核心要素,如何建立有效的企业安全管理体系,这些问题是所有首席安全官(CSO)们关注的。对此,McAfee公司的CSO Martin Carmichael博士有他独到的见解。他认为,CSO要像卖产品一样规划企业的安全风险管理,企业的安全风险管理需要流程化。
安全管理是一个流程 Martin认为,安全风险管理不同于信息安全。信息安全重在操作,是由安全产品驱动的;安全风险管理决定企业战略,是由业务流程驱动的。Martin认为,流程是一系列系统化的行动,每个行动都有明确的目标。安全风险管理不是某一时间点的事件,也不是产品,它是一个持续进行的流程。它具有连续性、可重复性、高效性和可确保性的特点。
各个公司的销售部门可能都面临这样的问题:一个销售团队的任务是否只是卖产品;在这个过程中,他们是否有一个可以量化的指标和量化的体系;是否有一个系统性的评定和量化的销售人员;每天的销售业绩和销售指标是否与预期相同……安全风险管理和销售工作同样需要有可预见性,即要有目标,实现目标的最好方法就是需要一个完整的流程。
完整的安全风险管理应该有五个步骤:第一步,了解安全风险管理的内涵;第二步,通过技术手段识别风险;第三步,通过技术手段保障风险管理流程的持续性;第四步,明确、量化安全风险;第五步,持续管理安全风险。
沟通让安全管理更顺畅 在现实中,CSO面临的主要难题包括:风险管理概念不清晰,容易与信息安全混淆;风险管理的流程成熟性不够,不能给企业管理者提供有说服力的商业案例说明,通过安全风险管理可以提高企业的投资回报率(ROI);与管理层沟通不畅,CSO提供的数据不能帮助企业管理者制定相关决策。
作为企业的安全管理部门,最重要的是和其他相关部门进行良好的合作,保证在安全实施的过程中使整个公司获得利益。如果不能做到这一点,就可能会遇到这样的窘境:信息流失,病毒入侵,某些重要服务中断。在这个过程中,人们往往会带着一种恐惧、怀疑和不确定性去购买某种防护产品,这样,企业的安全管理部门就很难与其他业务部门进行有效的沟通。
人们在讲信息安全的时候,往往只谈具体的安全产品,但是公司的CEO、首席信息官(CIO)和商业合作伙伴并不一定真正了解这些安全产品。CSO的首要任务是要让其他业务部门和公司高层了解企业存在的安全风险是什么,挑战是什么,以及进行相关的安全管理流程和投资所能得到的回报。
McAfee风险管理方法
应该如何解决企业安全风险管理的问题,McAfee的风险管理(SRM)方法是建立在系统安全工程能力成熟度模型(SSE-CMM)之上的。在SRM的第一、二阶段,主要目标是识别资产和漏洞,量化漏洞,履行法规遵从要求;在SRM的第三阶段,主要目标是策略管理/强制执行,安全指标及修补指标;在SRM的第四阶段,主要目标是法规遵从指标平台及将技术检查项与规章制度和策略框架一一对应起来。以上其实就是McAfee公司推出的一整套新版本的风险和法规遵从解决方案,包括McAfee Foundstone 6.0、McAfee Remediation Manager 4.5和McAfee Policy Auditor 4.5。
最近更新