如何鑒定企業信息安全風險
信息是企業的命脈,有價值的企業數據可供員工、業務伙伴和承包商通過本地、云計算和虛擬環境來訪問, 提供對非公開重要信息的即時訪問。但是,員工經常在未經允許的情況下加載第三方軟件或者應用程序到他們的筆記本和智能手機上,并且這些設備都被連接到企業網絡和數據存儲中。
“信息無處不在”帶來便利和創造商業價值的同時,也帶來風險。雖然企業想要支持設備、軟件和應用程序使員工能夠順利完成工作,但企業也必須非常仔細地監督和管理與使用這些信息和IT有關的業務風險。
針對信息無處不在的解決方案就是信息安全無處不在,但是這是不切實際且無法實現的。企業需要確定什么時候便利會導致很大的風險以及應該怎樣做來限制風險。這是一個很大的挑戰,特別當你考慮到大多數企業都不能回答這個簡單的問題,“我們企業現在的信息風險是什么?”
根據IT Policy Compliance Group關于與信息使用和IT資源有關的企業風險的研究顯示,政策合規只有8%的企業可以確定目前企業的信息風險情況。此外,2%的企業根本無法回答這個問題,或者9個月或9個月以上才能給出答案,70%的企業不能在3個月內回答這個問題,20%需要一個星期到三個月。定義不清的企業風險、不適當的信息收集、裝備不良的報告系統和非優先控制都是導致這些不合理延誤的原因。
合理分配優先級別
IT Policy Compliance Group發現在企業為迎接信息無處不在的挑戰而做的充足準備與定義和管理企業風險之間存在明顯差異。與使用IT資源有關的風險***的企業能夠馬上回答其企業目前的信息風險情況,因為他們部署了正確的企業流程、控制和報告系統。
這些企業通常是從上自下來定義業務風險,然后再確定其優先次序。風險主要來自日常業務職能的執行,它們包括管理現金、采購風險、帳號安全、信用風險、法律風險、市場集中風險、監管風險、競爭風險、聲譽風險和操作風險。
最成功的企業會利用多個部門和職能的技能來定義和管理與使用IT資源有關的業務風險。更多利益相關者的參與能夠幫助企業優先考慮外部壓力、業務風險,確定與使用信息和IT資源有關的核心企業風險,并使用報告系統來更好地監控、管理和平衡政策、風險、異常和控制的平衡。
關于IT控制和操作流程,業務風險***的企業通常部署了幾個獨特的做法。幾乎有四分之三的企業會定期對敏感信息資產進行分類,并根據對關鍵信息的訪問權來確定IT資產,幾乎有三分之二會對敏感信息的存儲位置進行存檔,檢測或預防敏感信息的泄漏,并使用信息安全控制來保護敏感信息。
此外,IT Policy Compliance Group還發現,企業間選擇評估的風險和控制比率也十分不同。風險和控制的評估的間隔時間以及運行時間都與最終結果有直接的關系,業務風險***的企業部署了最頻繁的風險和控制評估,并且在評估(每周到每兩個月)間的運行之間也很短,而頻率是每季度或者間隔更長的企業則風險***。
自動化帶來更好的結果
收集信息以及生成關于信息風險和控制的報告的自動化水平也同樣與實現更好的結果有著直接關系。簡單地說,表現最差的企業部署著最少的自動化程序,而表現***的企業則部署了最多的自動化程序來收集信息和生成關于操作、財務、聲譽和品牌風險的報告。
業務風險***的企業將圍繞IT控制和企業流程的信息收集進行自動化處理,并且對業務風險和信息以及IT資源的使用生成報告。IT Policy Compliance Group發現,表現***的企業中,80%的企業都將信息收集流程和生成(與使用信息和IT資產有關的)業務風險報告進行了自動化。
相比之下,丟失數據或者被盜數據最多的企業通常都是業務停機時間最長和最難維持審計結果的企業,通常他們只有11%到12%的信息收集和生成報告流程是自動化的。
利用有效的報告來顯示風險情況
在業務風險***的企業,不僅具有更高度自動化的流程,而且還有更頻繁的報告,關于業務影響摘要、異常報告、重點報告和基于web的儀表板。
這些關于業務風險的企業報告主要根據優先次序、涉及的IT資產類型以及各種IT控制,特別是關于IT資產配置檢查失敗來標記和確定信息和系統完整中存在的不一致性。
他們還包括管理總結報告中的IT有效性指標,來顯示IT服務水平的可用性、IT資產和信息的完整性、財務系統和信息的完整性、客戶數據的完整性、敏感企業數據的完整性,以及審計和信息安全控制的完整性。
IT Policy Compliance Group的研究還顯示,定期報告IT界互聯網安全威脅變化以及對業務部門和職能部門的影響的企業能夠獲得更高的安全性。他們使用這些信息來預測業務風險和控制間的平衡,從而來管理風險和確定早期警告來將信息丟失、盜竊和業務停機時間到合理的和可管理的水平。
知道信息的去向能夠更好地協助***執行官、***信息官、***財務官、部門經理、業務部門經理、***信息安全官、IT運營經理和涉及管理信息使用的業務風險的有關人員來進行決策,這與報告同意重要,能夠為企業不同的決策者提供清晰明確的信息。Web數據表是管理業務風險***的格式,因為它們能夠提供這樣的優勢,例如根據顏色來分類風險等。
開始回答問題
沒有快速準確判斷企業信息風險的能力,很多企業會在事故發生后發現,風險狀況以及信息安全方案和控制能夠減輕風險。
很顯然,能夠在一天內回答“信息風險狀況如何”的問題的8%的企業處理的方式完全不同,并且也得到了回報。這些企業有***的業務服務水平,***的(與使用信息和IT資產有關的)操作和財務風險,***的數據丟失或盜竊率,最少的業務停機時間,因為IT很少出現故障,并且只需要花最少的開支來維持監管審計。
試圖阻止員工和業務伙伴使用新型強大的客戶設備是無望的,相反地,企業需要將重點放在確定風險上面,簡歷風險優先次序、自動化流程來收集信息和生成可用的報告,并且是能夠向其他高級管理員說明問題的報告。
【編輯推薦】
