解決辦法在于針對特定的威脅來保護安全。可問題是，說到采用有系統(tǒng)的風(fēng)險管理流程，IT人員遠(yuǎn)遠(yuǎn)落后于其他方面。不過有些技術(shù)專業(yè)人士已經(jīng)在積極分類IT資產(chǎn)、賦予風(fēng)險值、評估威脅、然后確定何處及如何緩解風(fēng)險，他們發(fā)現(xiàn)，風(fēng)險管理流程極其重要。

簡而言之，風(fēng)險管理原則為信息安全帶來了精確性。

這次安全調(diào)查表明了風(fēng)險管理如何可以讓公司把注意力放在對付最重要的威脅上：不安全的代碼編寫方法讓所有調(diào)查對象都遭了殃。所在組織已落實風(fēng)險管理計劃的調(diào)查對象當(dāng)中近一半在設(shè)計應(yīng)用程序時就具體規(guī)定了安全功能。在沒有落實風(fēng)險管理計劃的調(diào)查對象當(dāng)中，只有22%專注于代碼的安全性。

我們需要這次安全調(diào)查帶來的那種震撼。21%的公司從來沒有進(jìn)行過安全風(fēng)險評估；而在進(jìn)行過這項工作的公司當(dāng)中，只有五分之一嚴(yán)格使用了專業(yè)的外部審計人員。盡管63%的公司需要滿足與數(shù)據(jù)安全有關(guān)的政府或者行業(yè)法規(guī)，但其中許多法規(guī)并沒有為如何遵守提供充分的指導(dǎo)。在這類灰色地帶，最佳實踐是最佳防御之道。

公司還沒有及時部署加密技術(shù)，以此保護客戶和員工的數(shù)據(jù)。我們原先希望，不斷發(fā)生的一系列重大數(shù)據(jù)丟失事件會讓大多數(shù)公司開始積極采取綜合的隱私保護措施。所以我們發(fā)現(xiàn)一半以上的公司為了保護客戶數(shù)據(jù)而采取的惟一措施居然就是向員工告知安全標(biāo)準(zhǔn)、在網(wǎng)站上發(fā)布隱私政策，覺得灰心喪氣。這些是正確步驟，但并不排斥需要加密（只有34%的公司采用了加密）或者需要隱私政策審計（只有25%的公司采用了審計）。讓人震驚的是，11%的公司表示沒有隱私方面的防范措施來保護客戶數(shù)據(jù)。任何措施都沒有。

投資能得到怎樣的回報？

沒必要責(zé)怪掌握財務(wù)大權(quán)的人員或部門。對近30%的調(diào)查對象來說，安全這一塊至少占了IT總預(yù)算的11%。但壞消息是：各種病毒、網(wǎng)絡(luò)釣魚攻擊和蠕蟲在繼續(xù)興風(fēng)作浪，讓人頭痛不已；許多公司不斷把錢砸入到防火墻和反病毒保護技術(shù)上。由此猜測這些產(chǎn)品類別會銷聲匿跡，或者至少會被并入到其他技術(shù)，未免為時過早，因為13%的調(diào)查對象表示，就容易遭到安全泄密和惡意代碼攻擊的程度而言，今年與去年一樣，甚至還要糟糕。防火墻和反病毒保護是一半以上的調(diào)查對象認(rèn)為很有效的惟一兩個產(chǎn)品類別。

罪魁禍?zhǔn)资钦l？復(fù)雜性，62%的調(diào)查對象提到復(fù)雜性是最大的安全挑戰(zhàn)。如今，更多的數(shù)據(jù)出現(xiàn)在網(wǎng)絡(luò)上；更多的代理程序在公司計算機上運行，員工們期望對自己使用的個人電腦擁有一定的控制權(quán)；隨著出差和能源成本急劇攀升，公司越來越多地采用分支機構(gòu)和遠(yuǎn)程員工，這一潮流使得數(shù)據(jù)到處分布，因為人們期望能夠從客戶現(xiàn)場、家里或者街道那邊的咖啡店安全辦公。

復(fù)雜性還源于需要同時滿足多項法規(guī)遵從需求、對員工和用戶進(jìn)行安全意識方面的培訓(xùn)和教育，以及應(yīng)對技術(shù)越來越復(fù)雜的網(wǎng)絡(luò)。

大多數(shù)公司（63%）必須遵守一項或者多項政府或行業(yè)法規(guī)，其中許多法規(guī)措辭含糊，并沒有給出具體的指導(dǎo)表示可以采用哪些技術(shù)來滿足需求。為了滿足法規(guī)遵從方面的目標(biāo)，美國政府部門的信息系統(tǒng)安全辦公室項目經(jīng)理Kevin Sanchez Cherry表示他運用了最佳實踐；他所說的最佳實踐是指咨詢眾多有關(guān)方，包括美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、SANS Institute、以及面臨類似挑戰(zhàn)的同行。由于實施了最佳實踐，他不需要把大量時間用在使多項法規(guī)遵從需求規(guī)范化上。

我們從來不缺攻擊者，也從來不缺期望向我們推銷解決方案以趕走攻擊者的廠商。可問題是，旨在緩解安全問題的產(chǎn)品大多數(shù)針對范圍比較狹窄的一批威脅，所以有許多競爭性的技術(shù)可供選擇。要對付眾多系統(tǒng)上種類越來越廣泛的威脅，仍需要一大批這樣的單點產(chǎn)品。這對廠商們來說是好事，但對IT人員來說是壞事。

毫無疑問，我們正面臨迅速增加的一大批威脅，從外部攻擊者、不懷好意的員工到授權(quán)用戶，不一而足。雖然比較讓人害怕的是那些身份不明的計算機犯罪分子，但內(nèi)部用戶卻是最大的威脅，這是因為他們得到公司的信任，擁有訪問權(quán)，而且了解內(nèi)情。個別內(nèi)部用戶會另有私心，但極可能發(fā)生的一幕是：毫不知情的員工受騙上當(dāng)后，透露了公司機密，或者導(dǎo)致泄密事件發(fā)生，而他們的本意是想起到幫助作用。這種威脅很難對付，哪怕采用嚴(yán)格的流程和員工安全意識計劃也收效不大。足足35%的調(diào)查對象表示通過培訓(xùn)來阻止員工共享密碼效果不大，或者完全沒有效果。只有38%的調(diào)查對象認(rèn)為，自己能夠成功地阻止員工上社會工程學(xué)伎倆的當(dāng)。

Sanchez Cherry提議使用與目標(biāo)受眾切身有關(guān)的實際案例，能夠讓對方具體了解問題所在。比方說，2006年，退伍官人管理署的一名員工丟失了含有私人信息的一臺筆記本電腦。這個典例可以表明一名出于好意的員工也有可能導(dǎo)致數(shù)據(jù)丟失。對Sanchez Cherry這樣的人來說，就可以趁此機會反復(fù)強調(diào)，讓人牢記教訓(xùn)。

風(fēng)險管理是解決之道

法規(guī)遵從難題、更廣泛的攻擊途徑、容易上當(dāng)?shù)淖罱K用戶。IT負(fù)責(zé)人應(yīng)當(dāng)如何是好？大致上來說，信息安全工作要有所側(cè)重，最好的辦法就是不要再去考慮漏洞，而要開始考慮風(fēng)險。沒有哪家公司堵得住每一個漏洞，因為缺乏足夠的資源，也從來不會有足夠的資源。就算擁有無限的預(yù)算，威脅格局也在不斷變化。

簡單說來，風(fēng)險就是你因某項活動而蒙受損失的可能性。風(fēng)險管理方法使用人員、流程和產(chǎn)品來降低發(fā)生不妙事件的可能性；如果真的發(fā)生，就盡量減小損失。從IT的角度來看，這不僅僅是落實安全政策–接受調(diào)查的公司當(dāng)中差不多54%如今設(shè)法落實了安全政策。

IT人員需要不走常規(guī)路，對自己進(jìn)行培訓(xùn)，以便關(guān)注數(shù)據(jù)價值以及數(shù)據(jù)受到危及的可能性，而不是關(guān)注如何可能受到危及。明白如何受到危及固然很重要，但一旦數(shù)據(jù)泄露出去，就沒有辦法把它收回來。

使用風(fēng)險評估的做法相當(dāng)廣泛，79%的調(diào)查對象在采用這種做法，不過不是所有公司隨后充分利用評估結(jié)果。在進(jìn)行評估的公司當(dāng)中，76%用來制訂安全政策，但只有41%用來幫助采購和規(guī)劃。

當(dāng)然，不是說你非得是MBA才能知道風(fēng)險評估牽涉的不僅僅是IT和數(shù)據(jù)安全。許多公司推出新產(chǎn)品、管理營銷預(yù)算、進(jìn)行資本投資時，一直在運用風(fēng)險分析。IT團隊需要運用自己公司里面的這種知識和見解。

美國電氣保險公司（Electric Insurance）的系統(tǒng)工程與支持經(jīng)理Michael Hannigan表示，該公司把大約20%到25%的項目規(guī)劃時間用在了風(fēng)險分析和管理上。因為從規(guī)劃到后期制作的整個流程都包括了風(fēng)險分析環(huán)節(jié)，Hannigan發(fā)現(xiàn)能夠及時找出潛在問題，并加以解決。事后補救問題的成本要比在設(shè)計階段解決問題高得多。就拿美國電氣保險公司來說，風(fēng)險管理已成為其公司文化的一部分–這對金融公司來說不足為奇。我們都應(yīng)當(dāng)這樣積極主動。

風(fēng)險評估的大筆先期成本主要會來自分析資產(chǎn)和風(fēng)險；確定項目、產(chǎn)品線和服務(wù)的價值；然后列出每個類別的風(fēng)險。不過一段時間過后，這個流程會帶來回報。

Hannigan說："你一定要有戰(zhàn)略。像身份管理和密碼管理這些重大的IT項目實施起來成本非常高昂，但你希望三五年過后得到怎樣的結(jié)果、什么才是最簡單的捷徑？你不希望出現(xiàn)多個安全孤島。你希望標(biāo)準(zhǔn)化、不背離那些標(biāo)準(zhǔn)，除非存在誘人、合理的原因需要偏離標(biāo)準(zhǔn)。"

為了證明繁榮的安全產(chǎn)品市場，我們詢問采取了哪些措施來緩解風(fēng)險時，72%的調(diào)查對象提到的第一個答案就是運用技術(shù)來解決問題。這本身沒什么不對–技術(shù)問題需要技術(shù)方案來解決，但你要把它與一些更有戰(zhàn)略性的非技術(shù)方案作比較：只有18%的調(diào)查對象對敏感數(shù)據(jù)實行了基于角色的訪問機制。

考慮到針對性的風(fēng)險管理需要大量精力和資金，評估日常流程的成功就至關(guān)重要。60%的調(diào)查對象使用內(nèi)部審計來評估風(fēng)險管理項目是不是在取得成效；近一半的調(diào)查對象使用法規(guī)遵從來評估成效。但這些步驟沒有一項與請滲透測試專家來進(jìn)行破壞測試那樣來得有效，金融服務(wù)公司注意到了這一點；其中69%評估獨立審計的成效?？偟膩碚f，取得成效的比例只有43%。

誰控制、誰負(fù)責(zé)所有這些預(yù)算費用呢？在63%的公司當(dāng)中，IT預(yù)算資助風(fēng)險管理項目，而這適用于各行各業(yè)。更值得關(guān)注的是，制訂風(fēng)險管理計劃的公司當(dāng)中69%表示，從長遠(yuǎn)來看，這種方法可以為自己節(jié)省費用。只有22%的公司表示，風(fēng)險管理項目會不斷消耗預(yù)算。人們常想到風(fēng)險管理方面的永久成本，上述調(diào)查結(jié)果倒是讓人耳目一新。

雖然我們沒有詢問可以從哪些方面節(jié)省成本，但可以從其他問題推斷出可以取得哪些成效。風(fēng)險評估主要用于制訂風(fēng)險緩解政策、堵住安全漏洞；這可能會提高流程效率，比如利用數(shù)據(jù)庫簡化資產(chǎn)管理和政策遵從。相似的是，明白漏洞來源、查明根源可以提高整個公司的效益。法規(guī)遵從也通常會得益于風(fēng)險管理，無論是加強基礎(chǔ)設(shè)施安全和存儲管理，還是加強身份管理和文檔記錄流程。

最后的結(jié)論就是，風(fēng)險評估的初期成本可能看似很高，不過一些長遠(yuǎn)效益使得這筆成本是值得投入的，比如簡化數(shù)據(jù)管理、記錄現(xiàn)有流程，更不用說實際提高數(shù)據(jù)安全了。

鏈接：SaaS幫助降低安全成本和復(fù)雜性

中小企業(yè)通常面臨與信息安全有關(guān)的兩大"頑疾"：一是缺少充足時間，二是缺少專業(yè)團隊。對它們而言，SaaS安全有望成為解決之道。

所有公司領(lǐng)導(dǎo)都密切關(guān)注確保本公司的安全。小企業(yè)與大企業(yè)有分歧的地方在于，如何進(jìn)行規(guī)劃及采取行動，從而挫敗安全威脅。小公司向來極其缺乏資源，這就縮小了可供選擇的余地，迫使業(yè)務(wù)和IT決策者努力為一系列安全策略和對應(yīng)措施確定優(yōu)先級，以此獲得最高的投資回報。

中小企業(yè)通常面臨與信息安全有關(guān)的兩大"頑疾"：一是缺少充足時間，二是缺少專業(yè)團隊。對它們而言，SaaS安全有望成為解決之道。趨勢科技公司的中小企業(yè)產(chǎn)品營銷經(jīng)理Jon Clay說："對即使有IT人員、也缺少資源來管理安全解決方案的中小企業(yè)而言，SaaS安全再適合不過了。SaaS廠商可以借助SaaS安全為中小企業(yè)管理、維護及更新安全解決方案，提供全年365天、每天24小時的不間斷服務(wù)。許多大型企業(yè)擁有充足的資源、一大批技能豐富的IT管理員以及基礎(chǔ)設(shè)施，可以集中資源來監(jiān)控自己的安全解決方案，從而確保得到及時更新、正常運行。中小企業(yè)的IT人員卻很少享有這種優(yōu)勢，因此改用SaaS安全服務(wù)讓他們得以把注意力放在其他方面上，不必為安全解決方案而擔(dān)憂。"

不是只有趨勢科技這家廠商看好SaaS安全具有的潛力。邁克菲、賽門鐵克和Webroot及其他公司現(xiàn)在都提供基于服務(wù)的解決方案。調(diào)研公司Gartner在最近舉行的IT安全峰會上發(fā)布的一項估計預(yù)測，到2018年，將有85%的安全智能、70%的通信安全以及65%的安全Web網(wǎng)關(guān)將以服務(wù)的方式來提供。

趨勢科技公司的中型企業(yè)營銷主管Dan Woodward認(rèn)同Gartner公司的上述估計，指出電子郵件安全和Web網(wǎng)關(guān)是的兩項，另外三項服務(wù)是終端安全、法規(guī)遵從管理以及電子商務(wù)保護。

據(jù)賽門鐵克的產(chǎn)品管理與業(yè)務(wù)運營高級主管Chris Schin聲稱，幾乎任何一種解決方案中的部分都可以通過SaaS模式來提供。他說："就連端點安全這樣與內(nèi)部部署方案緊密相關(guān)的部分也可以通過SaaS來提供，政策管理、報告和警報等部分在云計算環(huán)境中來提供。某些解決方案確實比其他解決方案更適合使用SaaS，但其實還沒有這樣的解決方案：其中的一些部分無法通過SaaS解決方案來提供。"

趨勢科技公司的Woodward強調(diào)，每家公司都能夠得益于SaaS，無論作用只是單單保護、替換現(xiàn)有的保護方案，還是成為多層方法的一部分，不過他對Gartner公司列出的部署SaaS時需要考慮的幾個組織因素表示了認(rèn)同。有些公司不太適合部署SaaS，包括具有以下特點的小公司：

·擁有數(shù)量有限的一組集中式互聯(lián)網(wǎng)接入點；

·遠(yuǎn)程員工的比例比較少；

·IT人員數(shù)量比較多；

·擁有高效的服務(wù)器管理運作流程；或者

·重視細(xì)粒度控制，而不是技術(shù)解決方案。

在評估SaaS方案時，決策者必須權(quán)衡不同的可變因素。拿SaaS與內(nèi)部部署解決方案作比較時，需要分析總體擁有成本，而不是單單分析采購及安裝成本。另外，由于服務(wù)質(zhì)量決定了SaaS解決方案的價值，因此公司嚴(yán)格評估服務(wù)級別協(xié)議、認(rèn)真審查提供商的信譽及執(zhí)行能力就顯得很重要。

SaaS的價值主張很吸引人，不僅適用于安全，還適用于其他商業(yè)應(yīng)用；如今，越來越多的小公司在行動起來，積極使用SaaS。據(jù)調(diào)研公司AMI-Partners聲稱，從2004年到2007年，中型企業(yè)的SaaS采用率提高了一倍（從15%增長至30%），預(yù)計今年會繼續(xù)保持這種勢頭；在同一期間，小型企業(yè)的SaaS采用率也從10%增長至21%。

隨著更多的安全提供商提供SaaS安全解決方案，小企業(yè)會有更大的選擇余地，以便經(jīng)濟有效地滿足安全需要，從而騰出寶貴的時間和資源，致力于公司的業(yè)務(wù)發(fā)展上。

多易