全球企業的信息保密
2011-11-8 6:44:00 來源:網絡 編輯:56885 關注度:摘要:... ...
融合一家企業的傳統方法是讓員工在同一幢大樓里辦公,而信息科技已經動搖了這一點。通過互聯網聯接起來的廉價計算網絡,已在很大程度上改變了工作的組織方式,促使企業高管和政策制定者們努力探究隨之而來的機遇與后果。其中一個后果,就是旨在保護商業信息隱私和安全的大戰。如今,企業花費數十億美元來應對10年前想不到的風險。
就在幾年前,惠普(Hewlett-Packard)還把產品設計師與營銷、制造人員安排在同一塊辦公地點。研發人員可以把正在研發的產品從樓梯上搬下來,到裝配線上制作原型并進行試驗。營銷人員可以在午飯時間和設計工程師打一場排球,其間雙方會交換有關客戶需求或競爭威脅的想法。
而今天,這些人中有許多在一個擴展了的企業工作,企業由分布在全球的多個公司組成,彼此通過網絡交流。通過網頁瀏覽器,設計師就能為遠在地球另一邊的工廠實施工程上的修改,采購員就能更動供應商訂單,供應鏈經理就能監督工廠的生產狀況,客戶工程師就能協調貨物的交付。此等互動環節中的每一個,都有可能被人觀察或破壞,對方可能是尋求刺激的年輕黑客,也可能是為了追逐競爭優勢而更為別有用心的人。
這些變化并不局限于科技公司。互聯網戲劇性地增進了企業把工作轉移到最高效率地點的能力。例如,沃爾瑪(Wal-Mart)已將許多傳統的零售功能轉移給它的供應商,采用電子通訊手段協調日常采購和供應鏈規劃。而通用汽車(General Motors)之類的汽車制造商,則把產品設計職能推給了供應商,雙方通過網絡交換設計信息。
由于大企業紛紛采用外包和其它削減成本的方法,它們正面對新的風險,包括供應中斷和延誤,共享的知識產權被盜,以及令客戶失望。這些大企業整合了針對不同部門的應用系統,如制造、分銷、財會和人力資源等。來自不同公司的成員組成虛擬團隊,運用一系列個人設備進行交流,包括筆記本電腦、個人數字助理和手機等,而這些往往造成易受攻擊的新的薄弱環節。
許多老式的制造控制應用程序,都是依照獨立運行模式開發的,很少顧及安全問題。將這些應用程序與其它系統整合起來,就可能造成安全漏洞。同樣,當兩家公司為了加快信息流動而把它們的網絡聯接起來時,由于網絡安全設置上的差異,兩個網絡間仿佛有一扇虛擬旋轉門,這又是一個安全漏洞。一個整合網絡的風險級別,往往取決于其中安全系數最低的企業。
在全球范圍追蹤和管理工作流,本來就已不易,而一旦外包,則工作及相關信息就會迅速流向供應商的供應商,甚至更遠。在這種情況下,企業可能涉及幾千家公司。
雷神飛機公司(Raytheon Aircraft)對此深有體會。該公司是防務承包商“雷神”的一家子公司。去年夏天,它與國際商業機器公司(IBM)簽訂了一份實施其企業軟件項目的外包協議。當IBM表明,為了壓低成本,它打算利用印度的承包商時,雷神的高管立刻意識到自己遇到了問題。由于該項目涉及有關飛機設計的敏感數據,如果按原計劃履行合同,那么該公司將違反美國法規。為了保住這樁交易,IBM同意,在開發出一套安全管理系統之前,它會把這個項目留在美國本土完成。
從收件箱里刪除中毒的電子郵件,已成了人們的一項例行公事,仿佛是開始又一天工作的儀式之一。然而,我們很容易對這些小小的安全疏漏視熟視無睹,將其視為互聯網時代的小麻煩。事實上,小失誤往往會導致極為嚴重的后果。
那些指望用科技解決安全問題的人將會失望,因為就連那些出售技術解決方案的企業都會立刻承認其不足。今年5月在塔克商學院(Tuck Business School)舉行的一次峰會上,來自各行各業的首席信息官都同意這樣一種看法:信息安全是一個管理問題,應對這個問題需要結合企業文化、教育以及有效的風險評估。
80年代,當許多歐美制造商面臨與日本越來越大的質量差距時,它們發現,質量的突破不能由質控部門單獨實現,而必須成為整個企業文化的一部分。同樣,安全是每個人的責任。企業管理者不能消極待命,坐等信息安全警察的保護。信息主管必須闡明風險,而高管必須權衡這些風險。
思科公司(Cisco)的首席信息官布賴德•波斯頓(Brad Boston)描述了,他的部門如何從交通警角色(即對管理者的要求作出肯定或否定答復),轉變為幫助管理者作出好的決策。“我們的職責,是指明風險以及此等風險所構成的實際威脅,并告訴他們各種應對方案。然后,他們會作出有關哪些風險可以接受,哪些風險不能接受的商業決策。”
企業上下的每一層都負有這種責任,直至董事會。一位首席信息官抱怨說,當他向董事會演示最新的IT應用技術時,董事們的眼睛發亮了。而當他談到安全問題時,他們就心不在焉。董事會內部有成員了解各種風險,并能幫助其他成員看到此等風險,對于有效的IT管理是至關重要的。
如何在企業內開展IT安全風險知識的教育呢?首先,此種教育應針對具體職能并具有相關性。有太多安全管理者只是在散布恐慌心理,大喊狼來了以提高人們的意識。這種做法在短期能夠贏得注意力,但沒有長期效果。對首席信息官來說,要贏得并維持其他高管的信心,就需要從商業角度闡明風險和機遇,而不僅僅是預報厄運。
嘉吉公司(Cargill)的全球信息保護經理斯哥特•戴(Scott Day)向人們介紹了這一農業集團是如何劃分其培訓的。“我們識別了各種角色,以及擔當這些角色的業務部門領導。業務經理需要知道什么?他的決策權將如何受到影響?我們之所以開展這項工作,是因為我們認為這么做有助于將此種知識融入企業文化。當每個人都知道自己的職責,以及自己須如何負責時,他們就會去準備自己需要的東西,并確保自己不會落伍。”
其次,在擴展了的企業中實現安全保障,需要對供應商和客戶都進行仔細審查,換句話說,要對它們構成的安全風險進行持續評估。應向它們提供相關的風險警告,并鼓勵它們改進安全工作。例如,許多金融企業要求客戶使用最新版本的網頁瀏覽器,這既保護了自己,也保護了客戶。
有時候,保護擴展了的企業,意味著不與那些風險超過潛在效益的公司合作。富達公司(Fidelity)管理研究部的首席信息官吉姆•麥克唐納(Jim MacDonald)表示,信息安全方面的問題,已經影響到該公司對合作伙伴的選擇。
“對我們來說,與那些小型科技公司極富創意的系統合作是一個問題。我們喜歡那些公司,因為它們能幫助我們獲得競爭優勢,”他說道,“(但)當我們進入這些公司做安全評估時,(我們發現)安全往往不是這些公司重視的領域,而是它們的不足之處。對于是否與這類公司合作,我們的決定要更慢:我們看到了它們的技術,棒極了,但它們就是(對安全)重視不足。”
根據IT安全風險來評價供應商,與評估它們的財務風險或質量同樣重要。正如通用汽車的供應鏈主管馬克•希爾姆(Mark Hillman)所說的:“如果你有許多外包項目,那你就得戳一戳每一個人。”在這里“戳”是指評估信息安全風險,然后監督這種風險,如同監督這家供應商可能帶來的任何其他風險。這意味著確保供應商在接入你的系統時不會損害你的網絡安全,確保它們的安全措施足以保護你與之共享的知識產權。在一個擴展企業的新世界里,安全問題決不能被掉以輕心。