賽門鐵克公司宣布即將推出最新版的企業(yè)級IT治理、風(fēng)險與合規(guī)性(GRC)解決方案,即Symantec Control Compliance Suite 11。該解決方案將增加新的Control Compliance Suite Risk Manager模塊,使企業(yè)的安全主管能夠基于IT基礎(chǔ)架構(gòu)的視角,更好的洞察和傳遞那些可能給企業(yè)業(yè)務(wù)環(huán)境帶來的風(fēng)險。據(jù)透露,Risk Manager將技術(shù)問題轉(zhuǎn)化成了與企業(yè)流程相關(guān)的風(fēng)險問題,為不同的利益相關(guān)方提供關(guān)于IT風(fēng)險的定制化分析,并且可以基于業(yè)務(wù)關(guān)鍵性而非技術(shù)嚴(yán)重性,確定補(bǔ)救措施的優(yōu)先級。
目前,安全威脅和風(fēng)險管理已經(jīng)成為企業(yè)高級管理層面臨的重要議題之一,2012年1月,賽門鐵克委托Forrester Consulting公司進(jìn)行的調(diào)查中發(fā)現(xiàn):
◆70%的安全決策者表示,在近期發(fā)生的高調(diào)攻擊和數(shù)據(jù)中斷事件的直接影響下,管理層加強(qiáng)了IT安全意識;
◆在被問到IT風(fēng)險計劃需要如何改變才能為其業(yè)務(wù)伙伴關(guān)系帶來最積極的影響這一問題時,47%的受訪者表示提高企業(yè)對安全和風(fēng)險管理的價值溝通能力尤為重要;
◆超過40%的受訪者表示需要更及時、更準(zhǔn)確的數(shù)據(jù)或頻率更高的風(fēng)險與合規(guī)性報告。
賽門鐵克信息安全集團(tuán)(ISG)高級副總裁Art Gilliland表示:“超越技術(shù)專家的傳統(tǒng)角色而成為企業(yè)的業(yè)務(wù)風(fēng)險顧問,是當(dāng)今IT安全主管成功轉(zhuǎn)型的重要一步。今天,安全威脅問題已經(jīng)進(jìn)入企業(yè)管理層的議事日程,而賽門鐵克新一代IT治理、風(fēng)險與合規(guī)性(GRC)解決方案將幫助信息安全主管們推動切實的變革并與其商業(yè)伙伴更好的履行責(zé)任制。”
由于Symantec Control Compliance Suite 11中的Risk Manager模塊與具體的業(yè)務(wù)流程、組織或功能相關(guān),它將幫助安全主管創(chuàng)建具有針對性的IT風(fēng)險視角。安全主管能夠闡明那些未解決的配置或漏洞問題對公司的在線電子商務(wù)網(wǎng)站、交易處理系統(tǒng)或其他關(guān)鍵業(yè)務(wù)流程等,將可能造成何種無法接受的高風(fēng)險,而不僅僅是向業(yè)務(wù)主管提供有關(guān)這些問題的細(xì)節(jié)性報告。同時,將技術(shù)性的IT問題轉(zhuǎn)化成更易理解的業(yè)務(wù)風(fēng)險術(shù)語,能夠有助于提高企業(yè)的安全意識、責(zé)任性和行動力。
基于賽門鐵克新一代IT風(fēng)險與合規(guī)性解決方案,安全主管能夠依據(jù)IT風(fēng)險指標(biāo)為特定人群定制不同的風(fēng)險報表,從而使企業(yè)中圍繞IT風(fēng)險進(jìn)行的溝通更為有效。
◆針對管理層的風(fēng)險報表能夠標(biāo)明高風(fēng)險指標(biāo)(如針對業(yè)務(wù)部門的風(fēng)險)或?qū)τ绊戧P(guān)鍵業(yè)務(wù)流程的風(fēng)險進(jìn)行評分。
◆安全性運營報表能夠深度挖掘這些風(fēng)險評分背后的技術(shù)細(xì)節(jié)。
◆IT運營報表能夠提供具體的修復(fù)計劃,并隨著修復(fù)計劃地展開,監(jiān)控風(fēng)險是否在減小。
這些不同的報表視圖能夠確保IT和安全運營團(tuán)隊明確自己需要采取的行動,以減小企業(yè)關(guān)鍵業(yè)務(wù)的風(fēng)險,與此同時,也為利益相關(guān)者提供了他們所需要的信息,使其能夠更好地做出相關(guān)決策。
Symantec Control Compliance Suite還將配備一個靈活的、可擴(kuò)展的數(shù)據(jù)框架,這一點對于為不同受眾提供豐富的數(shù)據(jù)分析,至關(guān)重要。該框架可以將不同來源信息的匯集流程進(jìn)行極大地簡化,并實現(xiàn)這些信息的“正常化”,從而能夠以通用的格式進(jìn)行查看。同時,Symantec Control Compliance Suite能夠?qū)⒆詣由傻募夹g(shù)評估信息,手動輸入的信息和程序性評估信息匯總起來,并整合來自賽門鐵克或非賽門鐵克解決方案的其他數(shù)據(jù),從而為企業(yè)提供豐富的信息源,更好地支撐分析和決策。這樣一來,與特定業(yè)務(wù)流程、組織或功能相關(guān)的IT風(fēng)險就可以實現(xiàn)真正的多維度視角了。
企業(yè)戰(zhàn)略集團(tuán)首席分析師Jon Oltsik表示:“我們看到越來越多的首席信息安全官(CISO)被要求要以業(yè)務(wù)為中心向企業(yè)提供IT風(fēng)險評估,使企業(yè)高級管理層和業(yè)務(wù)經(jīng)理們都能夠很好地理解IT風(fēng)險并依此做出決策。要滿足這一需求,需要對風(fēng)險管理與基于IT的業(yè)務(wù)流程的交集高度關(guān)注。”
美國Waste Management公司信息與基礎(chǔ)架構(gòu)安全主管Tim Stanley表示:“當(dāng)你被要求在企業(yè)高級管理層面前匯報IT風(fēng)險時,你最好有詳實、充分的數(shù)據(jù)指標(biāo)作為支撐。而收集這些信息并利用這些信息與利益相關(guān)方有效地溝通,的確是我們面臨的重大挑戰(zhàn)之一。通過Control Compliance Suite Risk Manager,賽門鐵克為我們應(yīng)對這個挑戰(zhàn)提供了強(qiáng)大的工具。”