文档介绍:首席医官McAfee首席安全官:管理安全风险需广泛合伙
5月31日,在《计算机世界》举办的第五届信息安全大会上,McAfee首席安全官Martin Carmichael先生专程从美国飞到中国,根据其自身的长期经验,就McAfee首席医官McAfee首席安全官:管理安全风险需广泛合伙
5月31日,在《计算机世界》举办的第五届信息安全大会上,McAfee首席安全官Martin Carmichael先生专程从美国飞到中国,根据其自身的长期经验,就McAfee公司始终倡导的安全风险管理的概念及其对中国顾客的意义进行了专项演讲,引起了对安全日益注重的中国公司的CIO或CSO的爱好。
她说,安全问题日益威胁公司网络,但目前没有一家公司提供的产品能解决所有的安全问题。因此,对于公司而言,必需制定一种全面的、集成的防御方案,才是应对安全威胁的最有效措施。这就是安全风险管理的含义。
但实行安全风险管理时,不同样的人有不同样的反映:在运营专业人员看来,风险管理意味着保障正常运营的时间和配备,使她们的设备遵从内部方略和法规,并能保持网络畅通;在审核人员看来,风险管理意味着遵从外部法规和内部规章制度;在安全专业人员看来,风险管理意味着最大限度地减少核心设备上的漏洞和威胁;对于公司所有者而言,风险管理意味着要保证业务的持续性,可以持续开展业务和实现赚钱。
从她们各自角度而言,这些定义所有没有错。然而,由于定义无法统一,就导致了业务运营甚至管理上的摩擦。各团队所有设立不同样的优先级和方略来管理安全风险。这样做好处是会增进方略增强;害处是会导致在 IT 监控和防护方面的投资发生冲突。这会使业务面临危险,威胁到法规遵从,并使公司挥霍大量钱财,甚至错失商机。
那么,该如何解决这些矛盾呢?她觉得,公司应当从业务角度出发,着手制定安全战略,并要对的理解,进行安全风险管理的真正目的是为了保护数据,这是公司的命脉。因此,安全风险管理是一种动态的环节,需要把决策、行动及所支持的业务需求更快密地联系起来,这种战略融合正在从主线上颠覆人们对 IT 安全风险管理的理解 ―老式的IT 安全防护实质上只是公司整体风险管理的一种方面。
“但是,最重要的一点是,IT部门要和业务部门形成合伙伙伴关系,而不仅仅是供需关系,不能像过去同样,IT部门通过吓唬等手段逼迫业务部门采用新的安全方略,这样只能是一种被动的威胁管理。”她说。
对的的做法是,安全主管们和 IT 运营人员必需在 CIO 的带领下采用一种新的合伙议程