擴展型企業(yè)面臨愈加嚴峻的安全形勢

信息安全首先是個管理問題

因特網(wǎng)大大改變了企業(yè)開展工作的方式，以至于主管人員、管理理論家和決策者們都在努力探究種種機遇和后果：機遇（如外包）大大降低了成本、帶來諸多新的商業(yè)模式；后果（如竭力保護信息的隱私性和安全性）則讓公司蒙受重大經(jīng)濟損失，帶來十年前想象不到的風(fēng)險。

對惠普這樣的公司來說，近幾年變化著實驚人。僅僅幾年前，惠普還把產(chǎn)品設(shè)計師、營銷人員和制造人員安排在同一辦公園區(qū)內(nèi)。研發(fā)人員把工作臺上的產(chǎn)品從樓梯上搬到裝配線上，制作原型、進行試驗；營銷人員在午飯時間與設(shè)計工程師一起打排球，交流客戶需求或者競爭威脅方面的想法。如今，這些人有許多在擴展型企業(yè)（Extended Enterprise）工作。這種企業(yè)由分布在全世界的公司組成，通過網(wǎng)絡(luò)進行聯(lián)系。

當(dāng)然，不只是惠普才會有上述變化，因特網(wǎng)已經(jīng)使各種類型或規(guī)模的公司可以把工作轉(zhuǎn)移到最有效率的地方。譬如，沃爾瑪已把許多傳統(tǒng)的零售職能轉(zhuǎn)移給供應(yīng)商，如今要求所有供應(yīng)商一律采用電子通信手段，以協(xié)調(diào)例行采購和供應(yīng)鏈規(guī)劃。同樣，通用汽車（GM）等汽車生產(chǎn)商把產(chǎn)品設(shè)計職能重新交給了供應(yīng)商，如今通過網(wǎng)絡(luò)與全世界的供應(yīng)商交換詳細的產(chǎn)品設(shè)計信息。這種日益依賴信息可用性的現(xiàn)實，加上日益擔(dān)心網(wǎng)絡(luò)安全，已促使許多跨國公司往安全的企業(yè)計算平臺上投入巨資。

如今，由于幾乎各大公司紛紛采用外包、低成本采購，它們面臨本公司內(nèi)部以及供應(yīng)商之間的風(fēng)險。這些風(fēng)險包括供應(yīng)中斷和延遲、知識產(chǎn)權(quán)失竊、客戶失望等。為了加快企業(yè)各個方面的流程，公司把從制造、分銷、會計到人力資源的諸多應(yīng)用系統(tǒng)連接起來，這樣一來，它們往往會在無意中暴露出來新的安全漏洞。譬如說，許多比較老的制造控制應(yīng)用系統(tǒng)都是為了獨立運行而開發(fā)的，很少考慮到安全，集成導(dǎo)致這些系統(tǒng)暴露在其他業(yè)務(wù)系統(tǒng)面前，往往會出現(xiàn)許多安全漏洞。同樣，如果兩家公司為了加快信息流動而把各自的網(wǎng)絡(luò)連起來，這也會導(dǎo)致新的漏洞。

單單跟蹤及管理全球范圍的工作流就頗具挑戰(zhàn)性。一旦外包出去，工作及相關(guān)信息會迅速流向供應(yīng)商的供應(yīng)商。從顧客開始，再到最小的供應(yīng)商，一家擴展型企業(yè)在此過程中有可能牽涉上千家公司。要控制擴展型企業(yè)的敏感信息，難度就變得更大。雷神公司對此深有體會：去年夏天，雷神公司與IBM簽訂了一份外包協(xié)議，由IBM為其管理它所實施的SAP項目。IBM表明打算雇用印度的分包商以壓低成本后，雷神的主管人員馬上意識到自己遇到了問題。遵守美國的法規(guī)、確保敏感的飛機設(shè)計數(shù)據(jù)不會遭到破壞，并非易事。由于從工資單管理到給病人開賬單的各項工作外包出去，有關(guān)隱私和數(shù)據(jù)安全的問題隨之迅速出現(xiàn)。

單靠IT技術(shù)解決不了問題

那些指望技術(shù)可以解決安全問題的人會大所失望。連銷售技術(shù)解決方案的公司也樂于承認：光靠技術(shù)提供不了安全。最近在塔克商學(xué)院數(shù)字戰(zhàn)略中心和思科公司聯(lián)合舉辦的一次峰會上，來自各行各業(yè)的CIO們探討了安全管理方面的成果與難題。他們非常同意這種看法：信息安全首先是個管理問題。安全管理成功的關(guān)鍵是企業(yè)文化、安全教育及行之有效的風(fēng)險評估。

許多人忍不住會想：IT安全是信息技術(shù)小組的職責(zé)，但事實絕非如此。質(zhì)量管理革命盛行期間，質(zhì)量迅速得到提高的是那些認識到單單質(zhì)量控制部門無法確保質(zhì)量的公司，質(zhì)量控制必須成為組織文化的一部分。與質(zhì)量一樣，安全也是每個人的職責(zé)。業(yè)務(wù)經(jīng)理不能消極以待，坐等信息安全警察給予保護。信息主管必須闡明風(fēng)險，而主管人員必須共同權(quán)衡這些風(fēng)險。思科公司的CIO Brad Boston描述了他們是如何從單單對業(yè)務(wù)經(jīng)理的要求做出肯定或否定答復(fù)，變成幫助他們做出明智決策的：“我們的工作就是，確認風(fēng)險以及該風(fēng)險實際發(fā)生的威脅，然后告知應(yīng)當(dāng)采取哪些補救方案。隨后，業(yè)務(wù)經(jīng)理對哪些風(fēng)險可以接受、哪些風(fēng)險無法接受做出決策。組織上下的每一層都有這種責(zé)任，包括董事會?！币晃籆IO抱怨說，他向董事會介紹新款應(yīng)用軟件時，大家兩眼放光，可是當(dāng)他談到安全問題時，大家卻變得兩眼呆滯。要確保信息技術(shù)管理行之有效、建造注重安全的企業(yè)文化，關(guān)鍵是讓了解風(fēng)險的董事會成員幫助其他成員認識到這些風(fēng)險。

整個組織上下開展安全教育跟建造安全文化一樣重要。安全需要整個組織關(guān)注細節(jié)。不過，安全教育要有針對性，還要與每個人的職責(zé)有關(guān)。僅僅散布恐慌心理對提高安全無濟于事。而太多的安全經(jīng)理喊著“天塌下來了”，只是為了引起人們的注意。這種做法一開始能得到一些人的注意，但長此以往沒啥效果。對CIO們來說，要贏得并維持其他高層管理人員的信任，就需要從業(yè)務(wù)角度闡明風(fēng)險和機遇--而不僅僅是危言聳聽。

嘉吉公司的全球信息保護經(jīng)理Scott Day介紹了這家農(nóng)業(yè)聯(lián)合大企業(yè)是如何劃分其培訓(xùn)工作的?！拔覀兇_認了各種角色以及擔(dān)當(dāng)這些角色的業(yè)務(wù)部門領(lǐng)導(dǎo)。業(yè)務(wù)經(jīng)理要知道什么？他不需要從技術(shù)上來了解TCP/IP，但要知道這對其決策權(quán)有何影響？我們開展這項工作，是因為我們認為，這么做有助于把安全教育融入到企業(yè)文化當(dāng)中。如果每個人都知道職責(zé)所在、該怎樣去負責(zé)，他們就會去獲取需要的東西，確保自己不落伍。”
　　
最后，擴展型企業(yè)要獲得安全，需要認真細致地審查供應(yīng)商和客戶，不斷評估它們所帶來的安全風(fēng)險。譬如，讓顧客意識到種種風(fēng)險，促使他們采用更有效的安全策略。對許多金融公司來說，迫使客戶采用最新版本的網(wǎng)絡(luò)瀏覽器這樣的做法既保護了客戶，又保護了公司自己。有時，保護擴展型企業(yè)意味著不要與那些風(fēng)險超過商業(yè)利益的公司合作。誠信管理研究公司的CIO Jim MacDonald介紹了信息安全問題如何影響到他公司在合作方面的做法。“對我們來說，與那些擁有優(yōu)良創(chuàng)新系統(tǒng)的小型技術(shù)公司合作是個問題。原因在于，我們往往喜歡那些公司，因為它們能幫助我們獲得競爭優(yōu)勢。可是一旦我們過去進行安全評估，就會發(fā)現(xiàn)，安全通常不是這些公司關(guān)注的方面。對于是否與這類公司進行合作，我們較為慎重，之所以不太滿意，是因為覺得雖然技術(shù)不錯，但它們對安全根本不夠重視?！?/P>

根據(jù)IT安全風(fēng)險確定供應(yīng)商合不合格與評估其財務(wù)風(fēng)險或質(zhì)量一樣重要。正如通用汽車的供應(yīng)鏈主管Mark Hillman所言：“如果你有許多外包項目，就要刺探每個人。”這里的“刺探”是指評估外包風(fēng)險，然后像對待供應(yīng)商可能帶來的其他風(fēng)險那樣對其加以監(jiān)控。這意味著確保供應(yīng)商對你內(nèi)部系統(tǒng)的訪問不會危及你的網(wǎng)絡(luò)，或者確保它們自身的安全足以保護彼此共享的知識產(chǎn)權(quán)。在擴展型企業(yè)大行其道的這個新世界，絕不能對安全掉以輕心。