[转帖]全球企业的信息保密

SuperCFO

　　融合一家企业的传统方法是让员工在同一幢大楼里办公，而信息科技已经动摇了这一点。通过互联网联接起来的廉价计算网络，已在很大程度上改变了工作的组织方式，促使企业高管和政策制定者们努力探究随之而来的机遇与后果。其中一个后果，就是旨在保护商业信息隐私和安全的大战。如今，企业花费数十亿美元来应对10年前想不到的风险。

　　就在几年前，惠普(Hewlett-Packard)还把产品设计师与营销、制造人员安排在同一块办公地点。研发人员可以把正在研发的产品从楼梯上搬下来，到装配线上制作原型并进行试验。营销人员可以在午饭时间和设计工程师打一场排球，其间双方会交换有关客户需求或竞争威胁的想法。

　　而今天，这些人中有许多在一个扩展了的企业工作，企业由分布在全球的多个公司组成，彼此通过网络交流。通过网页浏览器，设计师就能为远在地球另一边的工厂实施工程上的修改，采购员就能更动供应商订单，供应链经理就能监督工厂的生产状况，客户工程师就能协调货物的交付。此等互动环节中的每一个，都有可能被人观察或破坏，对方可能是寻求刺激的年轻黑客，也可能是为了追逐竞争优势而更为别有用心的人。

　　这些变化并不局限于科技公司。互联网戏剧性地增进了企业把工作转移到最高效率地点的能力。例如，沃尔玛(Wal-Mart)已将许多传统的零售功能转移给它的供应商，采用电子通讯手段协调日常采购和供应链规划。而通用汽车(General Motors)之类的汽车制造商，则把产品设计职能推给了供应商，双方通过网络交换设计信息。

　　由于大企业纷纷采用外包和其它削减成本的方法，它们正面对新的风险，包括供应中断和延误，共享的知识产权被盗，以及令客户失望。这些大企业整合了针对不同部门的应用系统，如制造、分销、财会和人力资源等。来自不同公司的成员组成虚拟团队，运用一系列个人设备进行交流，包括笔记本电脑、个人数字助理和手机等，而这些往往造成易受攻击的新的薄弱环节。

　　许多老式的制造控制应用程序，都是依照独立运行模式开发的，很少顾及安全问题。将这些应用程序与其它系统整合起来，就可能造成安全漏洞。同样，当两家公司为了加快信息流动而把它们的网络联接起来时，由于网络安全设置上的差异，两个网络间仿佛有一扇虚拟旋转门，这又是一个安全漏洞。一个整合网络的风险级别，往往取决于其中安全系数最低的企业。

　　在全球范围追踪和管理工作流，本来就已不易，而一旦外包，则工作及相关信息就会迅速流向供应商的供应商，甚至更远。在这种情况下，企业可能涉及几千家公司。

　　雷神飞机公司(Raytheon Aircraft)对此深有体会。该公司是防务承包商“雷神”的一家子公司。去年夏天，它与国际商业机器公司(IBM)签订了一份实施其企业软件项目的外包协议。当IBM表明，为了压低成本，它打算利用印度的承包商时，雷神的高管立刻意识到自己遇到了问题。由于该项目涉及有关飞机设计的敏感数据，如果按原计划履行合同，那么该公司将违反美国法规。为了保住这桩交易，IBM同意，在开发出一套安全管理系统之前，它会把这个项目留在美国本土完成。

　　从收件箱里删除中毒的电子邮件，已成了人们的一项例行公事，仿佛是开始又一天工作的仪式之一。然而，我们很容易对这些小小的安全疏漏视熟视无睹，将其视为互联网时代的小麻烦。事实上，小失误往往会导致极为严重的后果。

　　那些指望用科技解决安全问题的人将会失望，因为就连那些出售技术解决方案的企业都会立刻承认其不足。今年5月在塔克商学院(Tuck Business School)举行的一次峰会上，来自各行各业的首席信息官都同意这样一种看法：信息安全是一个管理问题，应对这个问题需要结合企业文化、教育以及有效的风险评估。

　　80年代，当许多欧美制造商面临与日本越来越大的质量差距时，它们发现，质量的突破不能由质控部门单独实现，而必须成为整个企业文化的一部分。同样，安全是每个人的责任。企业管理者不能消极待命，坐等信息安全警察的保护。信息主管必须阐明风险，而高管必须权衡这些风险。

　　思科公司(Cisco)的首席信息官布赖德•波斯顿(Brad Boston)描述了，他的部门如何从交通警角色(即对管理者的要求作出肯定或否定答复)，转变为帮助管理者作出好的决策。“我们的职责，是指明风险以及此等风险所构成的实际威胁，并告诉他们各种应对方案。然后，他们会作出有关哪些风险可以接受，哪些风险不能接受的商业决策。”

　　企业上下的每一层都负有这种责任，直至董事会。一位首席信息官抱怨说，当他向董事会演示最新的IT应用技术时，董事们的眼睛发亮了。而当他谈到安全问题时，他们就心不在焉。董事会内部有成员了解各种风险，并能帮助其他成员看到此等风险，对于有效的IT管理是至关重要的。

　　如何在企业内开展IT安全风险知识的教育呢？首先，此种教育应针对具体职能并具有相关性。有太多安全管理者只是在散布恐慌心理，大喊狼来了以提高人们的意识。这种做法在短期能够赢得注意力，但没有长期效果。对首席信息官来说，要赢得并维持其他高管的信心，就需要从商业角度阐明风险和机遇，而不仅仅是预报厄运。

　　嘉吉公司(Cargill)的全球信息保护经理斯哥特•戴(Scott Day)向人们介绍了这一农业集团是如何划分其培训的。“我们识别了各种角色，以及担当这些角色的业务部门领导。业务经理需要知道什么？他的决策权将如何受到影响？我们之所以开展这项工作，是因为我们认为这么做有助于将此种知识融入企业文化。当每个人都知道自己的职责，以及自己须如何负责时，他们就会去准备自己需要的东西，并确保自己不会落伍。”

　　其次，在扩展了的企业中实现安全保障，需要对供应商和客户都进行仔细审查，换句话说，要对它们构成的安全风险进行持续评估。应向它们提供相关的风险警告，并鼓励它们改进安全工作。例如，许多金融企业要求客户使用最新版本的网页浏览器，这既保护了自己，也保护了客户。

　　有时候，保护扩展了的企业，意味着不与那些风险超过潜在效益的公司合作。富达公司(Fidelity)管理研究部的首席信息官吉姆•麦克唐纳(Jim MacDonald)表示，信息安全方面的问题，已经影响到该公司对合作伙伴的选择。

　　“对我们来说，与那些小型科技公司极富创意的系统合作是一个问题。我们喜欢那些公司，因为它们能帮助我们获得竞争优势，”他说道，“(但)当我们进入这些公司做安全评估时，(我们发现)安全往往不是这些公司重视的领域，而是它们的不足之处。对于是否与这类公司合作，我们的决定要更慢：我们看到了它们的技术，棒极了，但它们就是(对安全)重视不足。”

　　根据IT安全风险来评价供应商，与评估它们的财务风险或质量同样重要。正如通用汽车的供应链主管马克•希尔姆(Mark Hillman)所说的：“如果你有许多外包项目，那你就得戳一戳每一个人。”在这里“戳”是指评估信息安全风险，然后监督这种风险，如同监督这家供应商可能带来的任何其他风险。这意味着确保供应商在接入你的系统时不会损害你的网络安全，确保它们的安全措施足以保护你与之共享的知识产权。在一个扩展企业的新世界里，安全问题决不能被掉以轻心。