论文部分内容阅读
在全球160多个国家开展业务,有40万名员工分布在全球各地,还有约20万名个承包商人员参与业务。作为一家全球整合型企业,IBM在安全和风险管理方面遇到的挑战非常突出。
“IBM全球整合企业的定位使得我们的信息安全工作十分复杂。”IBM新兴市场CIO办公室副总裁嘉瑞卡(Rekha Garapati)说。嘉瑞卡和她的同事不仅要满足内部员工的安全需求,还要管理好承包商、供应商的安全问题。
得益于完善的IT风险管理架构,迄今为止,IBM从未在安全方面出过纰漏。IBM作为一家典型的全球化企业,其安全策略和实践值得借鉴。
四步构建IT风险管理架构
凭借在安全方面多年的管理经验,嘉瑞卡认为,CIO在应对信息安全时通常会涉及五大领域:物理层安全、IT基础设施、身份识别、数据信息合规、应用系统和流程。IBM针对这些领域已经总结出十条提升安全水平的规范和措施,包括建立风险意识和管理系统、事件管理及响应、创建未来的工作场所(这里强调的是移动终端应用)、通过设计提供安全服务、采取有效维护措施以确保基础设施安全、控制网络访问、解决云计算和虚拟化带来的问题、确保供应链安全和政策遵循、保护结构化和非结构化数据、管理身份识别生命周期。
“员工认知能力的提升是阻挡恶意软件的第一道屏障,为了加强对员工的安全性的教育,IBM推出了《安全指南》,如IT CS300和IT CS104是针对工作站的安全指南。IBM还是第一家发布博客安全指南的企业。我们制定了安全政策后,还花了大量金钱和时间让员工对相关安全策略有所了解,这样能更好地进行安全方面的管理、评估和改善。”嘉瑞卡说。
IBM的IT风险管理架构的构建可以分解为四个步骤:第一,定义风险,由专门的政策团队制定政策和标准;第二,管理,由投资管理团队维护服务目录,推出新举措等;第三,衡量,由合规团队衡量和报告合规情况;第四,改善,绘制风险图,制定风险状况改善策略。
“我们在衡量IT风险基础上确定我们的政策,通过政策的制定实现更好的管理,通过对管理技术的衡量,最后实现对整个IT风险管理能力的改善。”嘉瑞卡解释说。
值得一提的是,IBM有20多万家承包商和供应商。为了让这些伙伴的安全策略也遵循IBM全球统一的标准,IBM制定了一个风险地图。“根据这个风险地图,将风险可视化,并通过合规性了解全球风险内容。此外,通过把IT划分成具体的风险内容,我们可以有针对性地将风险降低到可控范围内。” 嘉瑞卡说。
形成对“安全力”的支持
IBM对企业信息安全的安枕无忧既来自建立完成的安全策略,从产品层面来说,也来自IBM软件“安全力”的支持,实际上支撑IBM安全策略的安全产品大部分来自IBM,少部分来自第三方厂商。
在终端管理方面,IBM在全球有45万台PC、1.6万台服务器,现在IBM已经在全球所有员工的工作站上都部署了TEM(Tivoli Endpoint Manager)终端管理解决方案。TEM在恶意软件防御方面做出了很大贡献。通过使用TEM终端管理解决方案,能为嘉瑞卡和她的同事在检测不同地区的恶意软件时提供非常清晰的图表。
在移动安全方面,IBM还采用了Lotus Traveler使员工即便不用内部网络也可以通过他们的移动终端安全进入到IBM的备忘录、日历表和邮件系统。
在身份管理方面,IBM还通过使用Tivoli Identity Manager、Tivoli Access Manager和其他相关产品共同实现内部员工单一身份识别。
IBM软件集团大中华区战略及市场总监吴立东表示,IBM将自身在安全方面的成功实践和安全全生命周期产品提供给客户,为便客户理解复杂的安全策略和产品,将之总结为“安全力”。他说,安全力是软件六大能力之一。软件六大能力指的是将信息转化为洞察的洞察力、驱动业务整合及优化的敏捷力、联系和协作的协作力、推动产品和服务创新的创新力、优化业务架构及服务的优化力,以及管理风险、安全及合规的安全力。
“IBM全球整合企业的定位使得我们的信息安全工作十分复杂。”IBM新兴市场CIO办公室副总裁嘉瑞卡(Rekha Garapati)说。嘉瑞卡和她的同事不仅要满足内部员工的安全需求,还要管理好承包商、供应商的安全问题。
得益于完善的IT风险管理架构,迄今为止,IBM从未在安全方面出过纰漏。IBM作为一家典型的全球化企业,其安全策略和实践值得借鉴。
四步构建IT风险管理架构
凭借在安全方面多年的管理经验,嘉瑞卡认为,CIO在应对信息安全时通常会涉及五大领域:物理层安全、IT基础设施、身份识别、数据信息合规、应用系统和流程。IBM针对这些领域已经总结出十条提升安全水平的规范和措施,包括建立风险意识和管理系统、事件管理及响应、创建未来的工作场所(这里强调的是移动终端应用)、通过设计提供安全服务、采取有效维护措施以确保基础设施安全、控制网络访问、解决云计算和虚拟化带来的问题、确保供应链安全和政策遵循、保护结构化和非结构化数据、管理身份识别生命周期。
“员工认知能力的提升是阻挡恶意软件的第一道屏障,为了加强对员工的安全性的教育,IBM推出了《安全指南》,如IT CS300和IT CS104是针对工作站的安全指南。IBM还是第一家发布博客安全指南的企业。我们制定了安全政策后,还花了大量金钱和时间让员工对相关安全策略有所了解,这样能更好地进行安全方面的管理、评估和改善。”嘉瑞卡说。
IBM的IT风险管理架构的构建可以分解为四个步骤:第一,定义风险,由专门的政策团队制定政策和标准;第二,管理,由投资管理团队维护服务目录,推出新举措等;第三,衡量,由合规团队衡量和报告合规情况;第四,改善,绘制风险图,制定风险状况改善策略。
“我们在衡量IT风险基础上确定我们的政策,通过政策的制定实现更好的管理,通过对管理技术的衡量,最后实现对整个IT风险管理能力的改善。”嘉瑞卡解释说。
值得一提的是,IBM有20多万家承包商和供应商。为了让这些伙伴的安全策略也遵循IBM全球统一的标准,IBM制定了一个风险地图。“根据这个风险地图,将风险可视化,并通过合规性了解全球风险内容。此外,通过把IT划分成具体的风险内容,我们可以有针对性地将风险降低到可控范围内。” 嘉瑞卡说。
形成对“安全力”的支持
IBM对企业信息安全的安枕无忧既来自建立完成的安全策略,从产品层面来说,也来自IBM软件“安全力”的支持,实际上支撑IBM安全策略的安全产品大部分来自IBM,少部分来自第三方厂商。
在终端管理方面,IBM在全球有45万台PC、1.6万台服务器,现在IBM已经在全球所有员工的工作站上都部署了TEM(Tivoli Endpoint Manager)终端管理解决方案。TEM在恶意软件防御方面做出了很大贡献。通过使用TEM终端管理解决方案,能为嘉瑞卡和她的同事在检测不同地区的恶意软件时提供非常清晰的图表。
在移动安全方面,IBM还采用了Lotus Traveler使员工即便不用内部网络也可以通过他们的移动终端安全进入到IBM的备忘录、日历表和邮件系统。
在身份管理方面,IBM还通过使用Tivoli Identity Manager、Tivoli Access Manager和其他相关产品共同实现内部员工单一身份识别。
IBM软件集团大中华区战略及市场总监吴立东表示,IBM将自身在安全方面的成功实践和安全全生命周期产品提供给客户,为便客户理解复杂的安全策略和产品,将之总结为“安全力”。他说,安全力是软件六大能力之一。软件六大能力指的是将信息转化为洞察的洞察力、驱动业务整合及优化的敏捷力、联系和协作的协作力、推动产品和服务创新的创新力、优化业务架构及服务的优化力,以及管理风险、安全及合规的安全力。