怎样鉴定企业安全风险？

　中国，2011年3月2日，Websense宣布推出全球首例移动DLP。随着智能手机和平板电脑在企业中的风靡，全球企业在保护内容免受恶意软件威胁和不慎泄露风险等方面面临愈加沉重的压力。而当我们步入2011年，让业务更具移动性已经成为一种趋势，智能电话和平板终端是企业员工首要的工作和通讯工具。所以随着越来越多的个人设备连接到企业网络、社交Web和各种SaaS应用程序时，也为数据泄漏开启了更多新的通道，当前企业迫切地需要一种有效的IT手段来帮助他们控制员工以及各种移动设备对敏感数据的访问。

 

　　Websense此次推出的全新Websense Mobile DLP technology，是Websense TRITON架构的一个组成部分，它能够操控那些在移动电子邮件中的敏感数据的可用性，保护数据不被泄露或盗取。Mobile DLP的功能来源于Websense精湛的DLP技术，iPads、iPhones、Android和更多其他移动设备上的机密数据在它的保护下可确保安然无恙。没有繁琐的端点客户端，无需在移动设备上安装第三方软件，它就能识别出所有企业和移动设备间的电子邮件通讯，然后在Exchange Server上安全隔离含有机密信息的电子邮件，只允许有权限的设备访问，同时还提供报告和修复功能。与此同时，移动设备可正常获得或发出那些不涉及重要信息的电子邮件。

 

　　Websense中国区总经理穆军表示：“每天都有无数的移动设备在连接和访问企业的电子邮件系统。员工正越来越多地把数据,机密信息从企业内部的电子邮件基础设施带出，并盲目地把它们用在个人和公司移动设备上。直到现在,安全技术人员依然无法提供缺乏足够管控能力,可以使移动设备安全地接入到企业的电子邮件。但是有了Websense Mobile DLP后，IT安全部门就能对其企业电子邮件中的敏感数据提供有效的保护，并能同时帮助减少成本开支以及驱动移动性产生的生产力。”

 

　　Websense独一无二地认识到了在这个企业无边界化的时代，安全的首要任务是保护内容。这也意味着不管它们是在常驻点、某个边界或远程设备上，我们均需要保障它们的安全。有了新的Mobile DLP，Websense TRITON解决方案就将其在内容安全的控制能力延伸到了移动平台，阻止数据经由移动设备泄露，不管它们是通过路由或者WiFi访问。

 

　　IDC安全产品和服务部项目副总裁Chris Christiansen表示：“人们对IT消费的狂热，使得智能手机和平板电脑呈现爆炸式增长，员工需要用个人手机来处理公司业务,这样更加有效率，却为企业信息安全带来了挑战。你怎么才能让这些设备可以正常访问企业，同时又能回避机密数据泄露危险呢?虽然这些智能的无线设备都是合法并有力的业务工具,但他们可能造成数据丢失。所以，保护内容应该是从Web、电子邮件、数据和社交网络等多方面着手，而不仅仅在设备上。Websense TRITON架构可为企业提供这种强大的能力以及正确有效的移动DLP功能。”

 

　　TRITON架构为包含Web、电子邮件和DLP的统一内容安全设立一个标准。一个统一的系统，在扩展到移动设备后，更是提供给了组织最大的灵活性、真正继承的Web、电子邮件和数据安全策略以及无缝管理。

 

　　穆军还说到：“在具有革命性力量的TRITON家族产品的支持下，我们对移动设备拥有同等的可视性、控制、威胁保护和数据泄露防护能力，这是支持现代企业业务发展的一个关键。”      信息是企业的命脉，有价值的企业数据可供员工、业务伙伴和承包商通过本地、云计算和虚拟环境来访问， 提供对非公开重要信息的即时访问。但是，员工经常在未经允许的情况下加载第三方软件或者应用程序到他们的笔记本和智能手机上，并且这些设备都被连接到企业网络和数据存储中。

　　“信息无处不在”带来便利和创造商业价值的同时，也带来风险。虽然企业想要支持设备、软件和应用程序使员工能够顺利完成工作，但企业也必须非常仔细地监督和管理与使用这些信息和IT有关的业务风险。

 

　　针对信息无处不在的解决方案就是信息安全无处不在，但是这是不切实际且无法实现的。企业需要确定什么时候便利会导致很大的风险以及应该怎样做来限制风险。这是一个很大的挑战，特别当你考虑到大多数企业都不能回答这个简单的问题，“我们企业现在的信息风险是什么?”

 

　　根据IT Policy Compliance Group关于与信息使用和IT资源有关的企业风险的研究显示，政策合规只有8%的企业可以确定目前企业的信息风险情况。此外，2%的企业根本无法回答这个问题，或者9个月或9个月以上才能给出答案，70%的企业不能在3个月内回答这个问题，20%需要一个星期到三个月。定义不清的企业风险、不适当的信息收集、装备不良的报告系统和非优先控制都是导致这些不合理延误的原因。

 

合理分配优先级别 如何鉴定安全风险？

 

　　合理分配优先级别

 

　　IT Policy Compliance Group发现在企业为迎接信息无处不在的挑战而做的充足准备与定义和管理企业风险之间存在明显差异。与使用IT资源有关的风险最低的企业能够马上回答其企业目前的信息风险情况，因为他们部署了正确的企业流程、控制和报告系统。

 

　　这些企业通常是从上自下来定义业务风险，然后再确定其优先次序。风险主要来自日常业务职能的执行，它们包括管理现金、采购风险、帐号安全、信用风险、法律风险、市场集中风险、监管风险、竞争风险、声誉风险和操作风险。

 

　　最成功的企业会利用多个部门和职能的技能来定义和管理与使用IT资源有关的业务风险。更多利益相关者的参与能够帮助企业优先考虑外部压力、业务风险，确定与使用信息和IT资源有关的核心企业风险，并使用报告系统来更好地监控、管理和平衡政策、风险、异常和控制的平衡。

 

　　关于IT控制和操作流程，业务风险最低的企业通常部署了几个独特的做法。几乎有四分之三的企业会定期对敏感信息资产进行分类，并根据对关键信息的访问权来确定IT资产，几乎有三分之二会对敏感信息的存储位置进行存档，检测或预防敏感信息的泄漏，并使用信息安全控制来保护敏感信息。

 

　　此外，IT Policy Compliance Group还发现，企业间选择评估的风险和控制比率也十分不同。风险和控制的评估的间隔时间以及运行时间都与最终结果有直接的关系，业务风险最低的企业部署了最频繁的风险和控制评估，并且在评估(每周到每两个月)间的运行之间也很短，而频率是每季度或者间隔更长的企业则风险最高。

 

　    自动化带来更好的结果

　　收集信息以及生成关于信息风险和控制的报告的自动化水平也同样与实现更好的结果有着直接关系。简单地说，表现最差的企业部署着最少的自动化程序，而表现最好的企业则部署了最多的自动化程序来收集信息和生成关于操作、财务、声誉和品牌风险的报告。

 

　　业务风险最低的企业将围绕IT控制和企业流程的信息收集进行自动化处理，并且对业务风险和信息以及IT资源的使用生成报告。IT Policy Compliance Group发现，表现最好的企业中，80%的企业都将信息收集流程和生成(与使用信息和IT资产有关的)业务风险报告进行了自动化。

 

　　相比之下，丢失数据或者被盗数据最多的企业通常都是业务停机时间最长和最难维持审计结果的企业，通常他们只有11%到12%的信息收集和生成报告流程是自动化的。

 

　　利用有效的报告来显示风险情况

 

　　在业务风险最低的企业，不仅具有更高度自动化的流程，而且还有更频繁的报告，关于业务影响摘要、异常报告、重点报告和基于web的仪表板。

 

　　这些关于业务风险的企业报告主要根据优先次序、涉及的IT资产类型以及各种IT控制，特别是关于IT资产配置检查失败来标记和确定信息和系统完整中存在的不一致性。

 

　　他们还包括管理总结报告中的IT有效性指标，来显示IT服务水平的可用性、IT资产和信息的完整性、财务系统和信息的完整性、客户数据的完整性、敏感企业数据的完整性，以及审计和信息安全控制的完整性。

 

　　IT Policy Compliance Group的研究还显示，定期报告IT界互联网安全威胁变化以及对业务部门和职能部门的影响的企业能够获得更高的安全性。他们使用这些信息来预测业务风险和控制间的平衡，从而来管理风险和确定早期警告来将信息丢失、盗窃和业务停机时间到合理的和可管理的水平。

 

　　知道信息的去向能够更好地协助首席执行官、首席信息官、首席财务官、部门经理、业务部门经理、首席信息安全官、IT运营经理和涉及管理信息使用的业务风险的有关人员来进行决策，这与报告同意重要，能够为企业不同的决策者提供清晰明确的信息。Web数据表是管理业务风险最受欢迎的格式，因为它们能够提供这样的优势，例如根据颜色来分类风险等。

 

　　开始回答问题

 

　　没有快速准确判断企业信息风险的能力，很多企业会在事故发生后发现，风险状况以及信息安全方案和控制能够减轻风险。

 

　　很显然，能够在一天内回答“信息风险状况如何”的问题的8%的企业处理的方式完全不同，并且也得到了回报。这些企业有最高的业务服务水平，最低的(与使用信息和IT资产有关的)操作和财务风险，最低的数据丢失或盗窃率，最少的业务停机时间，因为IT很少出现故障，并且只需要花最少的开支来维持监管审计。

 

　　试图阻止员工和业务伙伴使用新型强大的客户设备是无望的，相反地，企业需要将重点放在确定风险上面，简历风险优先次序、自动化流程来收集信息和生成可用的报告，并且是能够向其他高级管理员说明问题的报告。