|
记者:借用您刚才的比喻,如果信息高速公路上的车祸是不可避免的,如何可以做到当车祸发生时,保护车主最重要的信息不泄露出去呢?很多情况下企业并不清楚最敏感的信息是什么,在您提到的高级信息安全系统里面,有没有对企业进行“哪些信息属于最敏感”的培训呢?如果有培训的话,这些企业涉及到各行各业,如何可以做到呢?
亚瑟:非常棒的问题,我尽最大努力给你一个回答。相关的安全系统应该重新关注风险管理。我没法告诉任何企业对他们来说什么最重要,这就要求企业进行更细化的风险管理。
现在比较普遍的情况是,企业的经营者和政府官员,会把风险管理的职能分配给负责安全的部门。但其实在这些组织和机构里面,企业的经理人或者政府官员,他们实际上更了解,对他们的组织来说什么信息是最重要的,什么信息是应该得到保护的。所以风险管理应该是每一个人的责任,而不仅仅是几个人的责任。如果我们的风险管理是分散进行的,那也并不意味着我们不能够把它们结合起来,总体上加以关注。
另外,从攻击者的角度来看哪些信息是重要的也是非常必要的视角。单从内部人士的视角来研究风险是什么,是不够的,我们还需要从外部来研究我们的风险,我们需要站在攻击者的角度去思考。这样一种角度,可能会提醒我们,哪些东西对攻击者来说是重要的,但最初却被我们忽略掉了。
|
|