cma论坛|中国最大的管理会计互动社区!我们关注CMA,关注中国的管理会计发展
标题:
从攻击者的角度认识敏感信息是风险管理的重要一步
[打印本页]
作者:
管理会计
时间:
2012-7-24 14:18
标题:
从攻击者的角度认识敏感信息是风险管理的重要一步
记者:借用您刚才的比喻,如果信息高速公路上的车祸是不可避免的,如何可以做到当车祸发生时,保护车主最重要的信息不泄露出去呢?很多情况下企业并不清楚最敏感的信息是什么,在您提到的高级信息安全系统里面,有没有对企业进行“哪些信息属于最敏感”的培训呢?如果有培训的话,这些企业涉及到各行各业,如何可以做到呢?
亚瑟:非常棒的问题,我尽最大努力给你一个回答。相关的安全系统应该重新关注风险管理。我没法告诉任何企业对他们来说什么最重要,这就要求企业进行更细化的风险管理。
现在比较普遍的情况是,企业的经营者和政府官员,会把风险管理的职能分配给负责安全的部门。但其实在这些组织和机构里面,企业的经理人或者政府官员,他们实际上更了解,对他们的组织来说什么信息是最重要的,什么信息是应该得到保护的。所以风险管理应该是每一个人的责任,而不仅仅是几个人的责任。如果我们的风险管理是分散进行的,那也并不意味着我们不能够把它们结合起来,总体上加以关注。
另外,从攻击者的角度来看哪些信息是重要的也是非常必要的视角。单从内部人士的视角来研究风险是什么,是不够的,我们还需要从外部来研究我们的风险,我们需要站在攻击者的角度去思考。这样一种角度,可能会提醒我们,哪些东西对攻击者来说是重要的,但最初却被我们忽略掉了。
实际上,风险管理并不是什么魔术,它是一个定性的过程,但确实存在一些技术框架,能使人们以一种更有组织、更有系统的方式来进行风险管理的过程。尤其在今天这个时代,信息不断增加,而信息的基础架构也日益复杂,这就是为什么在我谈到高级的安全系统的时候,首先谈高级的安全系统一定是基于风险的,这个问题特别重要,我觉得我们从现在开始理解风险管理的重要性是一个很好的起点。
欢迎光临 cma论坛|中国最大的管理会计互动社区!我们关注CMA,关注中国的管理会计发展 (https://bbs.chinacma.org/)
Powered by Discuz! X3.2