这上面看起来不是非常的清楚,但是我想在这里强调的是什么?我们需要关注的是那些董事会的高管如何来看待安全性?可以看到PWC做的一个研究,2014年的信息安全,我们看到今年的占比当中有超过60%的人觉得它是具有比较好,或者是非常高的,2014年的比例超过70%,另外一些调研,我们觉得调研有时候非常有意思,他可以给到你一些背景、一些概念,或者是对于一些受访者,他们觉得这个特别的重要,我们也可以看到重中之重的问题。
1、业务的持续性。在我的眼里,在这些受访者的眼里,比如说网络风险排在第二位,这个来的要更加重要一些,大部分受访者的人,他们会关注事件、灾难的一些恢复,可能对于他们的数据中心,或者是IT的数据当中如何来恢复这些状况,恢复是非常重要的,也就是业务的一个可持续性。
2、有关一些现有的技术,可能所带来的一些风险。
有移动计算,其中也是占了一个比较大的,人们把它视作具有波动性,不确定性的一些东西。另外一个是社交媒体的问题,包括使用像脸谱,或者是其他的社交媒体的一些网络的一些使用,它也是一个非常大的风险点,是董事会管理的时候比较关注的,有的时候会带来名誉方面的一些问题,有的时候你发了一条微博,其中涉及到一些其他的公司,最后带来的一些后果,很有可能是对一些公司的名誉、声誉带来巨大的影响。
有多少的公司,具体的时候会进行风险分析,这是内部的风险评估,在这里我们可以看到是71%,也就是这个大约3/4,超过70%的企业内部会做一些信息安全和物理安全,但是比较小的公司只有51%,或者是只有一半的人来做风险评估,在这里我想强调的是,我之前是做审计的,那个时候我会说你们在风险这一块儿做一些什么防范的机制?你们如果出现一些问题,你们如何来定义他们,如何来应对他们,在这里我们可以看到,调研的结果也证明了风险评估在不同企业里面受重的程度是不一样的。
你无论在什么样的业务当中,我们必须要有一个很好的风险管理的组合,我们需要做具体的分析,如果你给哪一家,都要充分的来定义内部出现的风险。
在这里其实是代表着一些标准的框架,我们从安全上面,一个大的角度来看,这其中不同的层级,有网络级、有应用层级,有运营系统,也包括虚拟化这个层级,也包括物理,我们的数据库、我们的设备等等。那对于风险可能会出现的一些新的领域,现在主要是在虚拟化这一层,可能比较容易出现风险,在这一侧我们会做一些云的一些数据库或者是自己来开发一些私有的或者是公有的一些平台。
从云风险管理角度我们要做什么?首先要识别有哪一些风险,第一是治理的缺乏,我之前已经说了,包括一些数据泄露,有很多的一些服务的可获得性出现的问题,缺少合规,最后一点你缺少数据的质量,可能在这一部分,在风险方面很多公司没有把这部分内容放在他们的风险管理中。
首先我们以一个所谓的治理上的损失来看,这中间需要做什么样环节的一些措施,防范的措施,正如我之前所提的,被外包的组织的它的安全方面做的很充分,至少它能够在你的一些指导方面,在你的一些指引方面可以做的不错,另外一方面服务水平协议也非常的重要,服务水平的协议是你和供应商之间,包括云服务供应商之间的关系如何,你必须要有一个很清晰的定义,这一点非常的重要。
从安全的角度,我们要把这部分的内容考虑到,整个SLA服务水平协议这个合作当中,如果提到这个,我们也包括合同管理,CSP有效的和管理,我们必须要持续的、有效的去管理这些协议。
我觉得无论是什么样的类型的服务,比如说CRM这样的服务,客户关系服务,可能现在已经是非常标准化的内容,大家可能经常会把它外包,作为一家企业,我们需要的是你要有一个服务供应商认证的报告,第三方的一个认证报告,我们会关注下一个点。
下一个点是有关数据损失、数据泄露的保护,首先数据分级非常的重要,数据的分类和分级对于我们如何来保存这些数据,风险的优先级是不一样的,我没有时间讲的太多,我就列出我个人觉得比较重要的一部分。
如果要做好风险控制,我们首先要做好风险分类、风险分级,第二个是虚拟化,这个是一个比较新的技术,特别是在云平台的应用方面,我也会说一些关于黑客的一些攻击实践,经常通过所谓的虚拟化,这里我不想讲的太技术,另外一方面我们还要做加密,就是要让数据安全的话,在这里我们会继续的关注一些业务影响分析,也就是BIA业务影响分析这个概念,非常的重要,它对于我们确保你的数据是得到了一个合适的控制和评估,我们在完成了BIA的分析的时候,你要做一些相关的服务和可用性的测试,定期做测试,数据的主权性也是非常重要的,如果我们把数据外包到外面,你要知道数据到了哪里。
这里有一个客户的例子,从他们这个角度大家做的是什么?他们没有数据备份的规范,他们没有,甚至这个数据已经被流到了另外的一个国家,他们做的反应是什么?我也觉得比较的震惊,他们觉得如果数据到了另外一个国家,就会带来一些风险,他们也开始非常的重视可能带来的一些挑战。
我们要清楚我们的数据和应用是在哪里做备份的,有的时候我们不仅要有一个正式的计划,还需要一个问责的问题,我之前所提高的认证,我在这里也不会讲的太深入,我们看一下一些主要的常见的问题,包括7001这些相关的报告,在这里我们所需要的是什么?当我们找到我们服务供应商的时候,必须要有证书,我强调的这三个证书是所有的CSP,你想要合作的CSP应该具有的,因为它也可以帮助到你更好的去了解需要控制的是什么?或者是云服务的供应商他们所需要的体系是什么?如果他们没有这样的认证,我最后想说一点,你必须要有一个定期的审计。
下一步是包括如何来更新你的行动计划,时间也差不多了,我就不多讲了,以上就是我的计划,非常感谢。
(责任编辑:安博涛)
