McAfee首席技术总监：2007风险管理年

进入2007年之后，许多人在谈论是购买股票呢？还是购买房产。然而，许多企业却开始注意自己的信息安全风险。制定安全风险管理流程将是许多企业在2007年采取的最重要举措。原因何在？如果不实施正确的安全风险流程，企业的所有的业务活动均可能会受到恶意威胁、配置错误以及大量漏洞的影响。对于法规遵从要求而言，也面临同样的风险，这就要求企业必须对管理重要的企业及客户数据的访问和使用流程保持强有力的控制。

安全风险管理可以为企业提供必要的流程来提高安全性和法规遵从性。安全风险管理的实施离不开CIO、IT 操作人员、网络安全人员及业务主管人员的通力协作。若要有效实施安全风险管理，需认识到企业无法以同样的方式和同样的紧急程度来响应每一个潜在的威胁或漏洞攻击。利益相关者必须确定哪些是最重要的资产，然后确定它们的优先级。有些系统和应用程序更容易暴露在风险之中，而IT部门无法独自确定企业可承受的风险等级。因此，IT 和业务管理人员需要通力合作来帮助企业确定资产优先级和最大限度地降低风险。

曾几何时，让业务主管人员坐下来制定安全风险管理计划是一件很难的事情。他们将 IT 部门看作一个负责安装和维护计算机的成本中心，却没有意识到IT部门在保护那些对他们开展业务（从进行销售到控制预算）至关重要的数据时所发挥的作用。然而，这一切在近年来已经发生了变化。业务管理人员现在越来越关注那些针对其机密信息和公司系统的无休止的威胁。他们也进一步意识到了违反法规的严重后果 - 负面宣传、受到处罚和损害股东的利益。

正如IT部门需要业务管理人员的支持一样，业务管理人员也想听取IT部门的意见，以了解如何才能有效地部署既能定义又能执行这些策略的工具。他们希望IT部门能带头实施确保企业安全合法的流程。这些转变令IT人员异常兴奋，因为他们现已被视为实现企业目标的重要一份子。然而，支持成功实施 安全风险管理 所必需的文化转变则是一个巨大的飞跃。它不仅需要 IT 部门和业务管理人员的合作来确定资产优先级，还需要加强 IT 操作人员与安全工作人员之间的交流。此外，它还需要改善通常独立工作并使用完全不同安全产品的团队之间的技术整合。

如果能够应对这些挑战，企业就能够获得巨大收益。包括管理层在内的每一个人都能更清晰地了解企业所面临的风险状况以及法规遵从情况。借助清晰定义的安全风险管理方法（包括安全防护和法规遵从指标），企业可以前瞻性地采取措施应对风险，而不是被动挨打。企业完全没有必要专门配置人员来匆忙应对每个新的威胁或漏洞。通过采用 安全风险管理 方法，企业不仅能够确保其关键系统不会瘫痪，还能够确保其企业及客户数据始终得到保护。

安全风险管理使企业能够将其资源集中到战略规划上，并在市场中获得竞争优势。当然，企业必须不断监控和衡量为应对风险而制定的 安全风险管理 流程。意识到 安全风险管理 的重要性的企业同样会意识到，能够报告流程、衡量这些流程的有效性以及明确哪些方面得到了改善也十分重要。同样，企业还会意识到一个旨在满足安全及法规遵从要求的综合解决方案可以帮助它们改善资源管理、降低成本和节省时间。

很少有厂商能够提供全面的安全风险管理方法。迈克菲（McAfee）在通过一个流程来帮助企业管理其安全及法规遵从性方面一直处于领先地位。McAfee提供了一套协同工作的工具，以帮助企业制定资产保护策略并根据漏洞及威胁评估实际的风险等级。此外，McAfee还可以帮助企业获得适当级别的保护，避免预算超支。

这种方法的先进之处在于安全风险管理方法，该方法能够保护您的企业免受会对重要 IT 系统和操作过程造成重大破坏的最严重威胁的侵扰。安全风险管理可以帮助您的组织理解其资产并分析必须弥补的漏洞。安全风险管理还为内、外部法规遵从性计划提供了便利。它能使您的组织实施与客户数据集成、企业应用程序和数据库配置以及财务报告准确性相关的策略。

从管理安全性过渡到管理风险需要IT组织摒弃其固有观念，改变以往使用点解决方案对每一种新威胁进行响应的做法。McAfee 认为"安全风险管理是一个过程而非一个产品。"安全风险管理同样涉及管理和评估。它消除了分隔安全性计划和法规遵从性计划的壁垒，并认识到合作的过程可以确保组织安全和遵循法规。

在其新的角色中，IT被赋予了制定符合企业自身逻辑（即，将风险最小化、将业务优势最大化）的决策的权力。一位电子商务供应商可能会将客户数据库置于其"必须保护的资产"清单的顶端，因为违反这类数据将动摇客户的信心。而另一家公司可能将该优先权给予其订单处理系统，这种做法是出于这样的考虑：如果公司遭受漏洞攻击，其客户将转向其他商家 ，甚至可能就此一去不复返。

考虑到大型企业的巨大花费，特别是，解释和创建法规遵从性政策时的不菲费用，让企业能够根据基准来检查性能就越发重要了。在一些小型的、私有的企业中，与其规模相比，法规遵从性需求可能是一种不小的负担。这是一个充斥着风险，但有人管理的世界。如同有选择热门股的诀窍的投资者一样，通过实现效率与效益的平衡来保护其业务优势，现在能够承受 安全风险管理 挑战的IT操作和安全专业人士将得到巨大收获。

文/McAfee首席技术总监 Christopher Bolin