- 相關(guān)推薦
「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風(fēng)險(xiǎn)
企業(yè)信息技術(shù)資產(chǎn)管理的概念聽上去可能一點(diǎn)都不吸引人,但信息安全從業(yè)人員會驚訝于這兩個領(lǐng)域交織的方式。信息安全專業(yè)人員可以利用IT資產(chǎn)管理最佳實(shí)踐來降低企業(yè)內(nèi)的IT風(fēng)險(xiǎn),而這正是本篇文章將要討論的內(nèi)容。
什么是ITAM?
信息技術(shù)資產(chǎn)管理是業(yè)務(wù)流程集,其目的在于管理技術(shù)資產(chǎn)的生命周期和庫存。它可以通過適當(dāng)?shù)念A(yù)定義資產(chǎn)管理來減少IT成本、降低IT風(fēng)險(xiǎn)以及提高生產(chǎn)力,從而為企業(yè)提供價值。IT資產(chǎn)管理(ITAM)作為正式的業(yè)務(wù)流程系列已經(jīng)存在了十年,不過,與典型的業(yè)務(wù)流程相比,它還不太成熟。
IT資產(chǎn)管理和企業(yè)信息安全交織的領(lǐng)域可能并不是很明顯。信息安全是涉及高技能IT工程師、架構(gòu)師和戰(zhàn)略師的復(fù)雜活動,其任務(wù)包括抵御垃圾郵件和網(wǎng)絡(luò)釣魚攻擊,以及抵御通過計(jì)算機(jī)攻擊活動給金融市場制造混亂的跨國恐怖主義活動,還有這兩者之間的各種攻擊活動。
而IT資產(chǎn)管理有很多目標(biāo),包括最大限度地提高企業(yè)在信息技術(shù)的投資。為了滿足這個目標(biāo),一種常見方法是了解企業(yè)的IT需求,然后建立標(biāo)準(zhǔn)來滿足這些需求。這將帶來資產(chǎn)類型的合理化(定義可接受IT資產(chǎn)的具體準(zhǔn)則),以及資產(chǎn)類型的減少。例如,通過應(yīng)用合理化,企業(yè)可以看到軟件應(yīng)用數(shù)量的顯著減少,這種做法涉及定義哪些類型的應(yīng)用程序滿足預(yù)定義準(zhǔn)則(支持企業(yè)的IT目標(biāo)),并試圖消除不滿足這些準(zhǔn)則的應(yīng)用。隨著應(yīng)用的不斷精選,這能夠?yàn)镮T安全團(tuán)隊(duì)提高安全性,因?yàn)樗麄冃枰不、修?fù)、監(jiān)控和審計(jì)的應(yīng)用更少了。
ITAM的另一個優(yōu)勢是了解企業(yè)內(nèi)誰需要哪些IT資源來幫助其完成本職工作。采用這種做法的企業(yè)能夠了解誰可以訪問敏感數(shù)據(jù),并且,用戶權(quán)限可以基于需求進(jìn)行更邏輯化的限制,在某些情況下,甚至可以作為特權(quán)管理系統(tǒng)的基礎(chǔ)或者邏輯檢查。
正如你所看到的,事實(shí)證明,這兩個領(lǐng)域其實(shí)在很多方面都有交織。
ITAM的過去和目前的趨勢
在21世紀(jì)初期,IT資產(chǎn)管理和信息安全之間幾乎沒有任何關(guān)聯(lián)。ITAM側(cè)重于通過硬件管理和軟件授權(quán)合規(guī)來贏得企業(yè)的支持。其主要重點(diǎn)是在任何時候知道物理硬件的位置,控制其在企業(yè)的進(jìn)出,以及利用價格杠桿實(shí)現(xiàn)批量購買機(jī)會;從軟件的角度來看,其重點(diǎn)是鞏固授權(quán)談判,建立關(guān)于授權(quán)合規(guī)的普遍意識,以及確保供應(yīng)商審計(jì)讓成本符合預(yù)期。ITAM最初讓人們覺得,IT資產(chǎn)管理人員只是清點(diǎn)“東西”。
目前的趨勢表明,ITAM在多個方面與數(shù)據(jù)安全流程和關(guān)注領(lǐng)域有著重疊,特別是在報(bào)廢處理以及處理過程中的數(shù)據(jù)安全。此外,重疊領(lǐng)域還包括移動庫存控制和風(fēng)險(xiǎn)管理的責(zé)任,這側(cè)重于網(wǎng)絡(luò)接入點(diǎn)的管理以及設(shè)備在企業(yè)控制之外的安全性。
這是這兩個領(lǐng)域之間真正的重疊區(qū)域,這個重疊區(qū)域?qū)⒏嗟腎TAM工具帶到信息安全領(lǐng)域,本來這些工具可能不會存在,或者對于沒有強(qiáng)大ITAM方案的企業(yè),需要專門購買或從零開始開發(fā)。ITAM資產(chǎn)管理控制和報(bào)廢處理過程現(xiàn)在已經(jīng)非常成熟,現(xiàn)在資產(chǎn)都有條形碼標(biāo)簽或RFID標(biāo)簽,還有成熟的庫存跟蹤系統(tǒng),以及明確到個人的資產(chǎn)分配。這些功能加上信息安全身份管理和強(qiáng)大的訪問跟蹤及訪問管理控制為這兩個領(lǐng)域提供了廣泛的功能,這些功能提供的強(qiáng)大控制能夠解決安全風(fēng)險(xiǎn),讓企業(yè)更方便地知道在特定時間誰在對特定IT資產(chǎn)做了什么。
此外,丟失或被盜的資產(chǎn)更容易識別和跟蹤,網(wǎng)絡(luò)通信更好地關(guān)聯(lián)到個人設(shè)備和接入點(diǎn),并且,企業(yè)可以基于最新ITAM數(shù)據(jù)存儲庫確定軟件為已授權(quán)或未授權(quán)。雖然這里仍然存在一些真正的風(fēng)險(xiǎn),但I(xiàn)T資產(chǎn)管理程序提供了很好的額外工具來解決數(shù)據(jù)安全問題。
應(yīng)用的正確部署和使用讓企業(yè)可以更有效地監(jiān)控這些資產(chǎn)。然而,在通信和教育方面,很多企業(yè)還沒有實(shí)現(xiàn)的最大回報(bào)。成功的ITAM程序在很大程度上依賴于企業(yè)內(nèi)所有人的合作,而這種合作只有在一種情況下才能實(shí)現(xiàn),即在正確使用IT方面,員工了解其相應(yīng)職責(zé)。雖然IT對于企業(yè)非常有用,IT總是會帶來嚴(yán)重風(fēng)險(xiǎn);但完善的IT資產(chǎn)管理方案可以幫助減輕這種風(fēng)險(xiǎn)。
對ITAM未來的預(yù)測
ITAM和IT安全有著相似的目標(biāo)。正因?yàn)槿绱,一些ITAM方案歸IT安全部門管理,或者這兩者都屬于更廣泛的IT運(yùn)營部門。在某些情況下,ITAM和安全的組合是為ITAM方案獲得資金的唯一途徑。然而,在接下來的兩到五年,ITAM程序和功能,以及信息安全的需求將會以新的有意義的方式交織和重疊。我們將會看到,在一些較大型企業(yè),這兩組控制被融合到具有廣泛職責(zé)的單個部門。這里的主要驅(qū)動力是新興的全球定位(GPS)開始整合到各種信息技術(shù)設(shè)備中。在資產(chǎn)追蹤、用戶識別和網(wǎng)絡(luò)訪問控制方面,都會開始出現(xiàn)新的功能。
現(xiàn)在,網(wǎng)絡(luò)訪問主要通過企業(yè)身份驗(yàn)證系統(tǒng)來控制,并涉及各種其他技術(shù),例如網(wǎng)絡(luò)訪問控制(NAC)。有些高端系統(tǒng)還能夠限制到特定預(yù)先核準(zhǔn)的IP地址的訪問。然而,攜帶自己設(shè)備到工作場所(BYOD)趨勢正推動著受IP控制的訪問走得更遠(yuǎn)。隨著我們加入GPS,自然的用法是添加GPS到身份驗(yàn)證協(xié)議,只允許來自特定地理區(qū)域的訪問。隨著這個功能的出現(xiàn),ITAM將可以從資產(chǎn)追蹤的角度進(jìn)行整合,資產(chǎn)到GPS到唯一標(biāo)識符的三角追蹤將取代目前笨重的非集成資產(chǎn)標(biāo)簽。數(shù)據(jù)安全將構(gòu)建在這種功能之上,構(gòu)建在地理位置地圖中,最終第二代功能將綁定位置識別到網(wǎng)絡(luò)訪問,甚至到應(yīng)用使用情況。
隨著ITAM和IT安全控制共同發(fā)展,你的位置與你是誰的問題將同樣重要。
未來IT路線圖
如果你花一些時間思考ITAM的用途、新型GPS式功能以及企業(yè)對數(shù)據(jù)安全的需求,你就能看出事情發(fā)展的趨勢,特別是在現(xiàn)在這個超高風(fēng)險(xiǎn)意識和不斷變化的世界,信息安全威脅源自所有可能的領(lǐng)域:國家支持的網(wǎng)絡(luò)間諜/恐怖主義、無政府主義者和無時不在的經(jīng)濟(jì)動機(jī)的攻擊。信息安全團(tuán)隊(duì)需要記住的是,IT資產(chǎn)管理是可以帶來優(yōu)勢的趨勢。企業(yè)研究這兩個領(lǐng)域交織的方式,并開始尋找辦法來在未來幾年結(jié)合這兩者相應(yīng)的IT戰(zhàn)略和路線圖。
http://www.ardmore-hotel.com/【「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風(fēng)險(xiǎn)】相關(guān)文章:
資產(chǎn)管理制度管控的風(fēng)險(xiǎn)點(diǎn)02-22
創(chuàng)業(yè)者如何降低創(chuàng)業(yè)風(fēng)險(xiǎn)?08-09
大學(xué)生創(chuàng)業(yè)如何降低風(fēng)險(xiǎn)07-24
怎樣通過自我介紹05-27
創(chuàng)業(yè)者如何降低創(chuàng)業(yè)失敗的風(fēng)險(xiǎn)?08-09
創(chuàng)業(yè)者該如何學(xué)會降低風(fēng)險(xiǎn)?09-25
怎樣降低公司員工流失率?06-28
風(fēng)險(xiǎn)管理心得03-02
中國通過中醫(yī)藥法草案消息解讀09-17