賽門鐵克公司宣布即將推出最新版的企業級IT治理、風險與合規性(GRC)解決方案,即Symantec Control Compliance Suite 11。該解決方案將增加新的Control Compliance Suite Risk Manager模塊,使企業的安全主管能夠基于IT基礎架構的視角,更好的洞察和傳遞那些可能給企業業務環境帶來的風險。據透露,Risk Manager將技術問題轉化成了與企業流程相關的風險問題,為不同的利益相關方提供關于IT風險的定制化分析,并且可以基于業務關鍵性而非技術嚴重性,確定補救措施的優先級。
目前,安全威脅和風險管理已經成為企業高級管理層面臨的重要議題之一,2012年1月,賽門鐵克委托Forrester Consulting公司進行的調查中發現:
◆70%的安全決策者表示,在近期發生的高調攻擊和數據中斷事件的直接影響下,管理層加強了IT安全意識;
◆在被問到IT風險計劃需要如何改變才能為其業務伙伴關系帶來最積極的影響這一問題時,47%的受訪者表示提高企業對安全和風險管理的價值溝通能力尤為重要;
◆超過40%的受訪者表示需要更及時、更準確的數據或頻率更高的風險與合規性報告。
賽門鐵克信息安全集團(ISG)高級副總裁Art Gilliland表示:“超越技術專家的傳統角色而成為企業的業務風險顧問,是當今IT安全主管成功轉型的重要一步。今天,安全威脅問題已經進入企業管理層的議事日程,而賽門鐵克新一代IT治理、風險與合規性(GRC)解決方案將幫助信息安全主管們推動切實的變革并與其商業伙伴更好的履行責任制。”
由于Symantec Control Compliance Suite 11中的Risk Manager模塊與具體的業務流程、組織或功能相關,它將幫助安全主管創建具有針對性的IT風險視角。安全主管能夠闡明那些未解決的配置或漏洞問題對公司的在線電子商務網站、交易處理系統或其他關鍵業務流程等,將可能造成何種無法接受的高風險,而不僅僅是向業務主管提供有關這些問題的細節性報告。同時,將技術性的IT問題轉化成更易理解的業務風險術語,能夠有助于提高企業的安全意識、責任性和行動力。
基于賽門鐵克新一代IT風險與合規性解決方案,安全主管能夠依據IT風險指標為特定人群定制不同的風險報表,從而使企業中圍繞IT風險進行的溝通更為有效。
◆針對管理層的風險報表能夠標明高風險指標(如針對業務部門的風險)或對影響關鍵業務流程的風險進行評分。
◆安全性運營報表能夠深度挖掘這些風險評分背后的技術細節。
◆IT運營報表能夠提供具體的修復計劃,并隨著修復計劃地展開,監控風險是否在減小。
這些不同的報表視圖能夠確保IT和安全運營團隊明確自己需要采取的行動,以減小企業關鍵業務的風險,與此同時,也為利益相關者提供了他們所需要的信息,使其能夠更好地做出相關決策。
Symantec Control Compliance Suite還將配備一個靈活的、可擴展的數據框架,這一點對于為不同受眾提供豐富的數據分析,至關重要。該框架可以將不同來源信息的匯集流程進行極大地簡化,并實現這些信息的“正常化”,從而能夠以通用的格式進行查看。同時,Symantec Control Compliance Suite能夠將自動生成的技術評估信息,手動輸入的信息和程序性評估信息匯總起來,并整合來自賽門鐵克或非賽門鐵克解決方案的其他數據,從而為企業提供豐富的信息源,更好地支撐分析和決策。這樣一來,與特定業務流程、組織或功能相關的IT風險就可以實現真正的多維度視角了。
企業戰略集團首席分析師Jon Oltsik表示:“我們看到越來越多的首席信息安全官(CISO)被要求要以業務為中心向企業提供IT風險評估,使企業高級管理層和業務經理們都能夠很好地理解IT風險并依此做出決策。要滿足這一需求,需要對風險管理與基于IT的業務流程的交集高度關注。”
美國Waste Management公司信息與基礎架構安全主管Tim Stanley表示:“當你被要求在企業高級管理層面前匯報IT風險時,你最好有詳實、充分的數據指標作為支撐。而收集這些信息并利用這些信息與利益相關方有效地溝通,的確是我們面臨的重大挑戰之一。通過Control Compliance Suite Risk Manager,賽門鐵克為我們應對這個挑戰提供了強大的工具。”