影音先锋熟女少妇av资源,国产精品52页,2021精品国产自在现线看,亚洲高清中文字幕在线

物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊

信息安全:不只是成本 更是競爭優(yōu)勢

作者:RFID世界網(wǎng)收錄
來源:CIO時代
日期:2014-05-09 14:46:52
摘要:CIO經(jīng)常被要求證明技術投資是物有所值的。但是,美國某家公司的CIO最近仍被這個問題以及提問者的身份弄得猝不及防?!笆袌隹偙O(jiān)問我是否可以通過安全和隱私方面的措施構建公司獨有的競爭力?!痹揅IO回憶說。這位CIO要求不透露自己的名字。

  CIO經(jīng)常被要求證明技術投資是物有所值的。但是,美國某家公司的CIO最近仍被這個問題以及提問者的身份弄得猝不及防。“市場總監(jiān)問我是否可以通過安全和隱私方面的措施構建公司獨有的競爭力?!痹揅IO回憶說。這位CIO要求不透露自己的名字。

  這位CIO剛剛讀過一個安全方面投資的回報率分析案例,對此他持保留態(tài)度。這個案例分析來自于某電子商務咨詢公司對US Cutter公司的調查。經(jīng)過分析,該咨詢公司認為,US Cutter通過在其電子商務站點上展示賽門鐵克認證標章(Norton Secured Seal),使得總體銷售提升了11%,而付費搜索的銷售則大幅提升了52%.

  另一位CIO自己承擔了案例總結的任務 -- 假設其所在公司受到攻擊時,如果沒有相應的安全防護措施,會給公司業(yè)務、聲譽以及競爭力帶來的傷害。

  “我用自己的標題和圖片作為演示的開頭,包括華盛頓郵報的頭條‘FCC Hacked!'.”Robert Naylor說。Naylor曾任聯(lián)邦通訊委員會(Federal Communications Commission,FCC)首席信息官,現(xiàn)在以網(wǎng)絡安全專家的身份服務于美國的情報系統(tǒng)。

  “隨后,我問FCC的主席以及屋子里的其他人,是否要聽任這種事情的發(fā)生?!盢aylor說。當時,iPhone 5已經(jīng)研制完成,F(xiàn)CC比任何人更早的收到了設計圖。如果泄密,將給消費者與公司帶來了嚴重的后果。“但是,如果是政府部門被入侵,整個國家的經(jīng)濟就可能受到傷害。比如,某外國政府獲得了相關的信息,就可能提早開始進行與iPhone相關的制造和生產(chǎn)。”Naylor解釋到。

  隨著入侵事件的不斷發(fā)生以及媒體頭條的渲染,很多企業(yè)開始認識到信息安全本質上就是一種競爭優(yōu)勢。但是,CIO們也同時發(fā)現(xiàn),要證明這一點并非易事。能夠有力證明信息安全和商業(yè)價值之間聯(lián)系的案例太少。那些確實以安全措施構建競爭優(yōu)勢的企業(yè)不愿意分享自身的經(jīng)驗。而且,每個公司面對的安全威脅以及防護措施都是不同的。CIO和安全專家們雖然能夠爭取到更多的信息安全投資,但是整個過程都有一個共同點:僅僅是準備在事故發(fā)生時被動地證明投資的正確性,而不是主動地闡明企業(yè)業(yè)務會遭受的損失。

  之前在一家制藥公司任職時,Naylor就經(jīng)歷了知識產(chǎn)權被盜的事情。一家國外的競爭對手盜取了某種新藥(已經(jīng)通過了美國食品藥品管理局(FDA)的審查)的研制公式?!坝捎谝呀?jīng)獲得了FDA的批準,競爭對手推出的產(chǎn)品能夠順利上市,我們在這種藥上面的銷售額也從預期的60億美元降到30億美元。與此同時,我們還得為保護專利權而打訴訟戰(zhàn)?!盢aylor回憶說。

  這次泄密事件并非通過網(wǎng)絡?!半S著線上數(shù)據(jù)呈指數(shù)性的增長,相應的安全投入?yún)s沒有跟上。”Naylor表示。更糟糕的是,由于網(wǎng)絡安全威脅的多樣化,CIO們不知道該將有限的資金投入到哪個方面 – SQL注入攻擊、網(wǎng)絡釣魚(pishing)、APT攻擊、僵尸網(wǎng)絡(botnets)等等。

  Naylor推薦其客戶采用一種新技術,可以自動化地隔離威脅、發(fā)送警報給相關人員并對威脅進行分析。這種技術由一家創(chuàng)業(yè)公司(Naylor不愿提供其名字)開發(fā),通過與事先建立的網(wǎng)絡模式的比對,分析入侵的模式和行為并隔離之。

  安全措施給銀行帶來收入

  上世紀90年代末,Sandy Lambert是花旗銀行的首席信息安全官(chief information security officer,CISO)。當時,信息安全的工作被視為純成本的投入。但是,同Naylor一樣,Lambert通過各種機會來證明安全工作的商業(yè)價值。在同一家潛在客戶的會議中,她展示了花旗銀行信息安全的整體規(guī)劃,強調了銀行各層級強烈的安全意識,以及先進的加密和數(shù)字簽名技術。

  “當時參與投標的各家銀行都有安全舉措方面的說明,但是客戶事后告訴我,我們的安全規(guī)劃是最終贏得合同的主要因素之一 -- 信息安全直接給銀行帶來了收入?!盠ambert表示。她現(xiàn)在是安全咨詢公司Lambert & Associates LLC的董事長和ISSA(信息安全系統(tǒng)協(xié)會)的創(chuàng)始人。

  提升全行業(yè)網(wǎng)絡安全和保持企業(yè)競爭優(yōu)勢之間的悖論

  當David Cullinane在2012年離任ebay首席信息安全官時,其主導的信息安全規(guī)劃每花一美元,就能帶來價值10美元的風險消減。如今,越來越多的安全專家愿意分享如何通過信息安全構筑企業(yè)競爭優(yōu)勢,Cullinane就是其中一員。

  “信息安全應該并且能夠成為企業(yè)的競爭優(yōu)勢,但是,并非所有事情都是正面的?!盋ullinane說:“那些基于信息安全在競爭中獲勝的企業(yè)并不愿意公開其經(jīng)驗。他們會說’嗯,我知道該做什么事情,這是我的核心競爭力?!@種態(tài)度使得其他公司依舊暴露在威脅之下,我們有責任達成信息的共享和交流。”Cullinane現(xiàn)在是咨詢公司SecurityStarfish的創(chuàng)始人和首席執(zhí)行官,該公司提供安全威脅的分析報告,并基于客戶的(很多在《財富》榜上有名)數(shù)據(jù)進行技術開發(fā),幫助客戶降低風險避免損失。

  為了推動eBay在安全方面持續(xù)進行投入,Cullinane并沒有采用什么高深復雜的方法。首先,通過視覺效果極強的PPT演示,讓安全規(guī)劃和商業(yè)目標及核心業(yè)務緊密結合起來。他用9個方塊代表9種安全風險,每種風險賦予一個數(shù)字,代表了其對于業(yè)務的價值。同時,還包括每種風險發(fā)生的概率以及將會給企業(yè)帶來的損失。“通過圖表直觀的展示,人們可以看到潛在的損失是多么嚴重,從而也就知道該在什么地方進行投入了。”Cullinane說。

  相對于Niemen Marcus(美國精品百貨店)之類的企業(yè),eBay的業(yè)務模式?jīng)Q定了其面臨著更多網(wǎng)絡安全隱患。對此,Cullinane傾向于通過云計算方案來應對:“比如,亞馬遜的AWS就通過了PCI DSS認證(第三方支付行業(yè)數(shù)據(jù)安全標準)。因此,將客戶數(shù)據(jù)放到上面,從安全角度說和之前并無差別?!?/P>

人物訪談