根據(jù)風(fēng)險(xiǎn)級(jí)別區(qū)分優(yōu)先級(jí)
據(jù)研究機(jī)構(gòu)的市場(chǎng)調(diào)查結(jié)果顯示����,在目前不穩(wěn)定的經(jīng)濟(jì)氣候下�,某些風(fēng)險(xiǎn)可不能不值得投資,研究機(jī)構(gòu)建議企業(yè)應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估級(jí)別來(lái)區(qū)分投資的先后順序�����。投資決策不僅要考慮風(fēng)險(xiǎn)的所在位置,還要從中挖掘蘊(yùn)藏的機(jī)遇�。
一份名為"高瞻遠(yuǎn)矚:在嚴(yán)峻經(jīng)濟(jì)形勢(shì)下根據(jù)戰(zhàn)略優(yōu)勢(shì)管理信息安全"的報(bào)告也建議,在經(jīng)濟(jì)蕭條時(shí)期企業(yè)要了解那些風(fēng)險(xiǎn)是必須立即回避的���,那些是不值得進(jìn)行投資的�����。Coviello以銀行的大客戶為例����,銀行向RSA實(shí)驗(yàn)室自定義解決方案進(jìn)行投資的目的是為了減少欺詐�����,但是每年他們要為此花費(fèi)200萬(wàn)美元��。Coviello認(rèn)為這些雖然有用���,但并非必不可少����。
Coviello表示"問(wèn)題是這種風(fēng)險(xiǎn)是否值得銀行每年花費(fèi)200萬(wàn)美元來(lái)解決呢?答案是:不值得"���。
報(bào)告還建議說(shuō)�,應(yīng)該把配置最新安全技術(shù)的注意力轉(zhuǎn)移到與業(yè)務(wù)有關(guān)的綜合安全措施上來(lái)�。"如果你能證明你的安全控制能立即解決多重領(lǐng)域的風(fēng)險(xiǎn),你可能就能從安全管理中受益�。舉例來(lái)說(shuō),了解誰(shuí)在訪問(wèn)什么系統(tǒng)能幫助預(yù)防欺詐"�。
團(tuán)隊(duì)中人員的合理定位
隨著企業(yè)預(yù)算大幅削減和經(jīng)常性裁員的發(fā)生,目前面臨的前所未有的事實(shí)是�,妥善安置員工是最基本的。
報(bào)告中稱"合理安排核心安全團(tuán)隊(duì)中的員工比以往都更加重要�����,因?yàn)槠髽I(yè)必須更加依賴他們的工作�����。核心安全團(tuán)隊(duì)的成員必須在腦海中形成風(fēng)險(xiǎn)/獎(jiǎng)勵(lì)框架和額外的技能準(zhǔn)備"��。
Coviello還建議重新定位員工角色來(lái)避免裁員和更有效的發(fā)揮戰(zhàn)略作用��。目前是安全事故和事件管理者系統(tǒng)實(shí)現(xiàn)更加自動(dòng)化管理的時(shí)候了�����。之前負(fù)責(zé)這項(xiàng)任務(wù)的員工現(xiàn)在應(yīng)該自動(dòng)重新分配新的角色�����。
Coviello表示"我們不能將這些員工解雇來(lái)避免成本的增高����,我們應(yīng)該盡力保持公司員工隊(duì)伍的穩(wěn)定"。
建立可重復(fù)流程
報(bào)告稱建立有章可循的標(biāo)準(zhǔn)流程能在長(zhǎng)期范圍內(nèi)發(fā)揮效率��。不同部門在做同一件事情時(shí)經(jīng)常采用不同的方式����。要更加有效的進(jìn)行安全管理就要對(duì)這種現(xiàn)狀進(jìn)行改革。
Coviello指出報(bào)告中陳述的都是易于實(shí)現(xiàn)的措施��,諸如身份驗(yàn)證和訪問(wèn)管理����。舉例來(lái)說(shuō),難道每個(gè)部門都需要一個(gè)不同的ID Admin Request機(jī)制或者一個(gè)不同的優(yōu)先訪問(wèn)管理系統(tǒng)嗎�����?
EMC公司的首席安全官Roland Cloutier在他的研究報(bào)告中表示"關(guān)鍵點(diǎn)是不要重蹈覆轍。在企業(yè)內(nèi)部通過(guò)調(diào)整不同部門的資產(chǎn)來(lái)減少保護(hù)企業(yè)安全的成本存在著不可思議的機(jī)遇�。這些可能來(lái)自于IT部門,審計(jì)部門或者財(cái)務(wù)部門��?�;c(diǎn)時(shí)間來(lái)關(guān)注什么流程已經(jīng)在實(shí)施�����,而不是重復(fù)再建一個(gè)流程���。要信任和使用來(lái)自內(nèi)部合作伙伴的信息"�。
創(chuàng)建優(yōu)化共享成本戰(zhàn)略
Coviello認(rèn)為"每個(gè)人都應(yīng)該在這個(gè)時(shí)候共享資源成本���,但是這種想法是在任何預(yù)算情況下都必須考慮的安全策略�����。企業(yè)不應(yīng)該僅僅依賴核心安全部門來(lái)采取這些措施���。這應(yīng)該是每個(gè)人都付出的努力"。
根據(jù)研究報(bào)告顯示�,安全行為被劃為為3種分類��,每一種都有不同的解決方式。這三種分類分別是:安全戰(zhàn)略和知識(shí)管理�����,關(guān)鍵性每日運(yùn)營(yíng)和項(xiàng)目管理����。決定成本共享是基礎(chǔ)。
摩托羅拉公司信息安全和保護(hù)部門副總裁比爾.博尼在報(bào)告中表示"在企業(yè)環(huán)境流動(dòng)性大的時(shí)期��,你該如何分配資源來(lái)滿足他們的需求���?安全團(tuán)隊(duì)要如何確定滿足企業(yè)內(nèi)部的所有需求到底需要多少資源��?與建立安全王國(guó)不同的是�,讓企業(yè)擁有自己的遞增資產(chǎn)�����。安全能提供標(biāo)準(zhǔn)和管理項(xiàng)目"�。
自動(dòng)化和外包
Coviello認(rèn)為"我們努力的目標(biāo)就是節(jié)約成本,企業(yè)應(yīng)該在制定決策之前考慮業(yè)務(wù)外包的可行性���?��?紤]外包業(yè)務(wù)應(yīng)該和各種因素結(jié)合起來(lái)�����。如果只考慮成本����,就會(huì)犯錯(cuò)誤"����。
盡管外包能創(chuàng)造效率和節(jié)約成本,企業(yè)也應(yīng)該考慮外包在某些情況下會(huì)增加安全風(fēng)險(xiǎn)�����。對(duì)任何第三方的信任都會(huì)加劇數(shù)據(jù)丟失的風(fēng)險(xiǎn)和企業(yè)敏感信息外泄的可能性����。
