最佳安全实践并不存在。如果存在的话,实施它们的公司会在保护信息上花太多的钱,更糟的是,很可能阻碍业务的正常运营。企业用户可以实施的最佳实践是评估网络,在要求的最低水平上遵守合适的标准以及实施刚好达到这一状态的控制。
有一些企业拥有具有高价值知识产权的研发机构、交易或转账系统,需要最佳的和最先进的安全性。而对于IT世界的大多数人来说,成功的IT专业人士能够平衡安全控制的成本、负担与IT费用之间的关系,以取得合适的和可接受的风险水平。
在确定是否在安全控制上花费合适的资金时,需要对每一项重大技术决定进行风险评估。记录评估结果,以及是如何作出决定的,将帮助你所在的企业满足管理规章要求和法律要求,并赢得业务单位和会计师的尊敬与赞扬。
以一次网络架构迁移为例。工程师们拿出一个用于分支办事处的全冗余、弹性的设计。设计规范是基于工程师称之为“最佳实践”的要求和来自远程工作人员的意见的。这些远程工作人员表示他们必须在网络上工作,否则他们的工作会陷于停顿。
办公室和网络人员过高估计了运营对于业务的重要性,并开发了一个费用几乎是本来费用4倍的设计,这个设计建议购买高可用性设备。这家用户进行了风险评估,安全/风险小组建议采用一种可用性水平较低的设备,最终为它节省了资金。毕竟,最佳实践对于这项任务的成本太高了。
进行安全/风险评估的最容易的方法是制作一张列举各种风险和安全漏洞的清单。大多数不习惯于抽象风险概念的人通常将威胁通通归类为“可能发生的坏事”。将威胁列为一类使评估过程更容易为IT和业务人员所遵循,便于他们提供有价值的意见。应当将类似的东西归为一类,并在最终的清单上得到大多数人的赞同。
此项工作的目标应当是得到一张长度合理的清单─10到50条比较合适。例如,“对Web应用非授权的访问”可以包括黑客活动、超出授权的访问以及观看其他信息的风险。在这张清单上,将每个风险发生的可能性和影响分为高、中或低。这应当是件做起来十分简单的事情,大多数人都直观地知道病毒经常出现,而自然灾害不经常发生。
利用这张清单评估所需要的控制量。显然,高可能性/高影响的风险需要更多的控制,才能将它降为中度可能性/中度影响或低可能性/中度影响的风险。一些将高可能性/高影响风险降为低可能性/低影响风险的措施,通常将风险减少得过多而费用过高。可以利用一张简单的图表标出减少的风险与控制的费用。具有低费用的、减少高风险影响的措施应当立即加以实现。
例如,一台控制访问工资与财务信息的内部防火墙,对于Sarbanes-Oxley法规遵从至关重要。但是,像使用类似的防火墙对公司中的每台服务器进行隔离,这样的高费用/风险降低少的控制,可能是浪费金钱。
