安全管理的复杂性是不是企业的头号IT障碍

一个不容致疑的问题，是企业的信息管理系统正变得越来越复杂，而SNS和移动设备被引入企业级应用系统，正使得这种复杂的趋势越演越烈。这不禁让我们想问一个问题：安全管理的复杂性是不是企业的头号IT障碍？

流程化的解决出路
        近日，一项设查为我们的疑问提供了佐证。Check Point软件技术有限公司与波耐蒙研究所对2,400多名IT安全专业人员进行了一项调研，结果显示受访者认为管理安全的复杂性是企业的头号IT障碍。随着数据丢失现象与日俱增、Web2.0应用程序如雨后春笋、移动计算普及，以及各种复杂的混合式攻击激增，现今企业不论规模大小都穷于应付不断变化的攻击威胁。
发现这个问题也许并不难，但接下来的问题是，我们如何能够解决安全管理的复杂性。实际上，这不是一个简单的问题，因为传统安全问题解决的最大问题，在于安全问题被我们当成了一个阶段性的任务，而没有把它通过流程化变成一个常规性任务。
       越来越多的企业意识到安全必须成为整个IT架构的中心环节。为达到二十一世纪商业环境所需的安全水平，企业应当考虑实施一个超越技术层次、并能使员工参与其中的安全蓝图，令IT政策能全面配合其业务需要。

安全流程的三个要素
      为了把安全转化为商业流程，企业必需考虑整合三个关键安全因素：政策、人员及执行力。
       在政策层面，首先，客户需要在公司内部制定一个定义清晰、能够被充分理解的安全政策 。此政策是用简单明了的商业用语而非仅仅通过技术术语来阐释。现今企业的安全政策大多晦涩难懂，有些公司更忘记把内部政策告知员工。为了加强网络所有层面的安全保护，企业需用以全局的角度看待安全解决方案，具体而言，企业要明白如何以及在哪里配合运用各种方案，以了解可能潜伏风险的环节。
      其次，在人员方面。第二个并且是最重要的3D安全板块就是公司的员工。随着社交媒体和Web2.0的广泛使用，办公室内的互联网使用发生了翻天覆地的变化。过去所谓安全保护，只需简单阻止特定的应用程序、端口、协议或网站访问便行；然而，随着web应用不断演进，其中有些被企业视为促进沟通及合作的优秀工具，这把“双刃剑”也使IT管理者面临更大的挑战，他们既要帮助企业抗击各式各样的新兴威胁，同时又不约束员工或阻碍商业运作。
      IT系统的用户是安全流程中的关键部分，用户的错失往往会导致恶意软件攻击以及不经意的数据泄密。不少企业忽略员工参与安全流程的重要性，而其实员工应是首当其冲参与其间。企业需要告知及教育员工有关其安全政策，以及他们在访问公司网络及敏感数据的行为守则。如果员工接受了适当的培训并了解相关信息，他们能协助公司大幅度减少安全风险。此外，IT安全措施应尽可能无缝流畅及高度透明，同时不会改变用户的既定工作方式。
       最后，在执行力层面。安全也可视为对多层次保护取得更好的控制。不幸的是，由于使用安全方案种类过于繁杂，企业往往会对随之产生的五花八门的安全政策失控，这将会导致IT复杂性增加，而且单点间会出现盲点。通过结合政策、人员和技术，企业可以把安全成为商业流程，确保在用户、内容、应用程序、数据、网络等所有层面协同工作。此外，安全的执行力需要纵观全局，保证所有政策实施的时候不留下缺口，并能阻挡威胁，而非仅仅检测到它们。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友