非IT经理如何管理IT安全

 
根据业界估计，每年至少有90%的企业受到数字安全问题的影响，由此造成的损失高达170亿美元。

    本文作者指出，经理们其实并不需要学习复杂的IT专业知识，他们应该致力于自己熟悉的风险管理领域，衡量信息资产的商业价值，确定它们遭受攻击的可能性，并针对薄弱之处制订一套降低风险的流程。这实际上是把电脑安全看作是一种公司运营层面而不是技术层面上的挑战。它类似于传统的质量保证项目，主要是防患于未然而不是等待问题出现之后再去解决，并且要求所有员工的亲身参与而不仅仅局限于IT人员。最终的目标也不是让电脑系统变得无懈可击，因为这根本不可能做到，而是把由此带来的商业风险降低到可以接受的程度。

    本文分析了电脑安全威胁的种类——网络攻击、入侵、恶意代码，认为经理们必须一马当先，带领部下建立各种流程，以减少网络犯罪分子攻击得手的可能性，降低损失程度。作者提出了8点建议：

    清点数字资产，确定每项资产应受多大程度的保护 你不会安排一个全副武装的保安守在复印机旁，防止员工复印私人资料；你也不会把公司现金就摆在文件柜里保存。任何事情都有一个主次，你要根据资产价值的高低来决定保护程度。数字安全也是同理。

    明确界定IT资源的合理使用 公司应该明确规定电脑系统的使用规范，比如谁可以拥有公司网络的远程访问权，在访问之前须采取哪些安全措施。这与技术无关，而是与人和流程相关。公司必须向用户和商业伙伴解释清楚限制电脑使用的理由。

    控制系统的访问权限 公司在允许一些人访问IT系统的同时，必须阻止另外一些人进入。网络防火墙、验证和授权系统、加密技术都为了保证信息安全。公司还应该采用监视工具和入侵探测工具来定期记录公司网络上的电脑活动，及时发现可疑行为。

    坚持使用安全的软件 公司如果是使用外部供应商提供的软件，应当和软件供应商签定安全保障合同；如果是自行开发软件，则必须确保开发人员遵守安全的编码与测试规则。

    确切了解运行的是何软件 公司必须跟踪软件的版本与修订情况，及时更新补丁，把每一次软件改动都记录在案，这样软件漏洞就会减少，不让黑客有机可乘。

    检测和基准比较 公司的安全检查重点应是看入侵是否容易、哪些系统或程序易受攻击，通过制订完善的操作计划，可以令黑客悻然离去。参照行业最高水平来制订安全标准也不失为明智之举。
    安全演习 当安全系统被攻破，危急时刻要迅速抉择难免有误，因此不妨平时建立应急预案，演习危机处理流程。

    找出问题根源 公司可以借用质量保证系统中所采用的工具，如鱼骨图、八步法等，找出安全问题的根源。丰田公司“五个为什么”之类的问题也可用在调查数字安全事故上。

    重要的是我们必须明白，关于数字安全的决策和经理们平常所做的其他成本收益决策并无二致。经理们在其他商业领域里使用的决策工具依然可以在电脑系统安全的问题上派上用场。

作者：罗伯特·奥斯汀（Robert D. Austin）克里斯托弗·达比（Christopher A.R. Darby）