马上注册,结交更多财务经理人,享用更多功能,成就财务总监之路……
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
融合一家企业的传统方法是让员工在同一幢大楼里办公,而信息科技已经动摇了这一点。通过互联网联接起来的廉价计算网络,已在很大程度上改变了工作的组织方式,促使企业高管和政策制定者们努力探究随之而来的机遇与后果。其中一个后果,就是旨在保护商业信息隐私和安全的大战。如今,企业花费数十亿美元来应对10年前想不到的风险。
就在几年前,惠普(Hewlett-Packard)还把产品设计师与营销、制造人员安排在同一块办公地点。研发人员可以把正在研发的产品从楼梯上搬下来,到装配线上制作原型并进行试验。营销人员可以在午饭时间和设计工程师打一场排球,其间双方会交换有关客户需求或竞争威胁的想法。
而今天,这些人中有许多在一个扩展了的企业工作,企业由分布在全球的多个公司组成,彼此通过网络交流。通过网页浏览器,设计师就能为远在地球另一边的工厂实施工程上的修改,采购员就能更动供应商订单,供应链经理就能监督工厂的生产状况,客户工程师就能协调货物的交付。此等互动环节中的每一个,都有可能被人观察或破坏,对方可能是寻求刺激的年轻黑客,也可能是为了追逐竞争优势而更为别有用心的人。
这些变化并不局限于科技公司。互联网戏剧性地增进了企业把工作转移到最高效率地点的能力。例如,沃尔玛(Wal-Mart)已将许多传统的零售功能转移给它的供应商,采用电子通讯手段协调日常采购和供应链规划。而通用汽车(General Motors)之类的汽车制造商,则把产品设计职能推给了供应商,双方通过网络交换设计信息。
由于大企业纷纷采用外包和其它削减成本的方法,它们正面对新的风险,包括供应中断和延误,共享的知识产权被盗,以及令客户失望。这些大企业整合了针对不同部门的应用系统,如制造、分销、财会和人力资源等。来自不同公司的成员组成虚拟团队,运用一系列个人设备进行交流,包括笔记本电脑、个人数字助理和手机等,而这些往往造成易受攻击的新的薄弱环节。
许多老式的制造控制应用程序,都是依照独立运行模式开发的,很少顾及安全问题。将这些应用程序与其它系统整合起来,就可能造成安全漏洞。同样,当两家公司为了加快信息流动而把它们的网络联接起来时,由于网络安全设置上的差异,两个网络间仿佛有一扇虚拟旋转门,这又是一个安全漏洞。一个整合网络的风险级别,往往取决于其中安全系数最低的企业。
在全球范围追踪和管理工作流,本来就已不易,而一旦外包,则工作及相关信息就会迅速流向供应商的供应商,甚至更远。在这种情况下,企业可能涉及几千家公司。
雷神飞机公司(Raytheon Aircraft)对此深有体会。该公司是防务承包商“雷神”的一家子公司。去年夏天,它与国际商业机器公司(IBM)签订了一份实施其企业软件项目的外包协议。当IBM表明,为了压低成本,它打算利用印度的承包商时,雷神的高管立刻意识到自己遇到了问题。由于该项目涉及有关飞机设计的敏感数据,如果按原计划履行合同,那么该公司将违反美国法规。为了保住这桩交易,IBM同意,在开发出一套安全管理系统之前,它会把这个项目留在美国本土完成。
从收件箱里删除中毒的电子邮件,已成了人们的一项例行公事,仿佛是开始又一天工作的仪式之一。然而,我们很容易对这些小小的安全疏漏视熟视无睹,将其视为互联网时代的小麻烦。事实上,小失误往往会导致极为严重的后果。
那些指望用科技解决安全问题的人将会失望,因为就连那些出售技术解决方案的企业都会立刻承认其不足。今年5月在塔克商学院(Tuck Business School)举行的一次峰会上,来自各行各业的首席信息官都同意这样一种看法:信息安全是一个管理问题,应对这个问题需要结合企业文化、教育以及有效的风险评估。
80年代,当许多欧美制造商面临与日本越来越大的质量差距时,它们发现,质量的突破不能由质控部门单独实现,而必须成为整个企业文化的一部分。同样,安全是每个人的责任。企业管理者不能消极待命,坐等信息安全警察的保护。信息主管必须阐明风险,而高管必须权衡这些风险。
思科公司(Cisco)的首席信息官布赖德•波斯顿(Brad Boston)描述了,他的部门如何从交通警角色(即对管理者的要求作出肯定或否定答复),转变为帮助管理者作出好的决策。“我们的职责,是指明风险以及此等风险所构成的实际威胁,并告诉他们各种应对方案。然后,他们会作出有关哪些风险可以接受,哪些风险不能接受的商业决策。”
企业上下的每一层都负有这种责任,直至董事会。一位首席信息官抱怨说,当他向董事会演示最新的IT应用技术时,董事们的眼睛发亮了。而当他谈到安全问题时,他们就心不在焉。董事会内部有成员了解各种风险,并能帮助其他成员看到此等风险,对于有效的IT管理是至关重要的。
如何在企业内开展IT安全风险知识的教育呢?首先,此种教育应针对具体职能并具有相关性。有太多安全管理者只是在散布恐慌心理,大喊狼来了以提高人们的意识。这种做法在短期能够赢得注意力,但没有长期效果。对首席信息官来说,要赢得并维持其他高管的信心,就需要从商业角度阐明风险和机遇,而不仅仅是预报厄运。
嘉吉公司(Cargill)的全球信息保护经理斯哥特•戴(Scott Day)向人们介绍了这一农业集团是如何划分其培训的。“我们识别了各种角色,以及担当这些角色的业务部门领导。业务经理需要知道什么?他的决策权将如何受到影响?我们之所以开展这项工作,是因为我们认为这么做有助于将此种知识融入企业文化。当每个人都知道自己的职责,以及自己须如何负责时,他们就会去准备自己需要的东西,并确保自己不会落伍。”
其次,在扩展了的企业中实现安全保障,需要对供应商和客户都进行仔细审查,换句话说,要对它们构成的安全风险进行持续评估。应向它们提供相关的风险警告,并鼓励它们改进安全工作。例如,许多金融企业要求客户使用最新版本的网页浏览器,这既保护了自己,也保护了客户。
有时候,保护扩展了的企业,意味着不与那些风险超过潜在效益的公司合作。富达公司(Fidelity)管理研究部的首席信息官吉姆•麦克唐纳(Jim MacDonald)表示,信息安全方面的问题,已经影响到该公司对合作伙伴的选择。
“对我们来说,与那些小型科技公司极富创意的系统合作是一个问题。我们喜欢那些公司,因为它们能帮助我们获得竞争优势,”他说道,“(但)当我们进入这些公司做安全评估时,(我们发现)安全往往不是这些公司重视的领域,而是它们的不足之处。对于是否与这类公司合作,我们的决定要更慢:我们看到了它们的技术,棒极了,但它们就是(对安全)重视不足。”
根据IT安全风险来评价供应商,与评估它们的财务风险或质量同样重要。正如通用汽车的供应链主管马克•希尔姆(Mark Hillman)所说的:“如果你有许多外包项目,那你就得戳一戳每一个人。”在这里“戳”是指评估信息安全风险,然后监督这种风险,如同监督这家供应商可能带来的任何其他风险。这意味着确保供应商在接入你的系统时不会损害你的网络安全,确保它们的安全措施足以保护你与之共享的知识产权。在一个扩展企业的新世界里,安全问题决不能被掉以轻心。 |