日韩欧美另类久久久精品_亚洲大色堂人在线无码_国产三级aⅴ在线播放_在线无码aⅴ精品动漫_国产精品精品国产专区

我要投稿 投訴建議

「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風險

時間:2022-11-12 02:40:05 企業(yè)管理 我要投稿
  • 相關(guān)推薦

「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風險

  企業(yè)信息技術(shù)資產(chǎn)管理的概念聽上去可能一點都不吸引人,但信息安全從業(yè)人員會驚訝于這兩個領(lǐng)域交織的方式。信息安全專業(yè)人員可以利用IT資產(chǎn)管理最佳實踐來降低企業(yè)內(nèi)的IT風險,而這正是本篇文章將要討論的內(nèi)容。

  什么是ITAM?

  信息技術(shù)資產(chǎn)管理是業(yè)務(wù)流程集,其目的在于管理技術(shù)資產(chǎn)的生命周期和庫存。它可以通過適當?shù)念A定義資產(chǎn)管理來減少IT成本、降低IT風險以及提高生產(chǎn)力,從而為企業(yè)提供價值。IT資產(chǎn)管理(ITAM)作為正式的業(yè)務(wù)流程系列已經(jīng)存在了十年,不過,與典型的業(yè)務(wù)流程相比,它還不太成熟。

  IT資產(chǎn)管理和企業(yè)信息安全交織的領(lǐng)域可能并不是很明顯。信息安全是涉及高技能IT工程師、架構(gòu)師和戰(zhàn)略師的復雜活動,其任務(wù)包括抵御垃圾郵件和網(wǎng)絡(luò)釣魚攻擊,以及抵御通過計算機攻擊活動給金融市場制造混亂的跨國恐怖主義活動,還有這兩者之間的各種攻擊活動。

  而IT資產(chǎn)管理有很多目標,包括最大限度地提高企業(yè)在信息技術(shù)的投資。為了滿足這個目標,一種常見方法是了解企業(yè)的IT需求,然后建立標準來滿足這些需求。這將帶來資產(chǎn)類型的合理化(定義可接受IT資產(chǎn)的具體準則),以及資產(chǎn)類型的減少。例如,通過應(yīng)用合理化,企業(yè)可以看到軟件應(yīng)用數(shù)量的顯著減少,這種做法涉及定義哪些類型的應(yīng)用程序滿足預定義準則(支持企業(yè)的IT目標),并試圖消除不滿足這些準則的應(yīng)用。隨著應(yīng)用的不斷精選,這能夠為IT安全團隊提高安全性,因為他們需要硬化、修復、監(jiān)控和審計的應(yīng)用更少了。

  ITAM的另一個優(yōu)勢是了解企業(yè)內(nèi)誰需要哪些IT資源來幫助其完成本職工作。采用這種做法的企業(yè)能夠了解誰可以訪問敏感數(shù)據(jù),并且,用戶權(quán)限可以基于需求進行更邏輯化的限制,在某些情況下,甚至可以作為特權(quán)管理系統(tǒng)的基礎(chǔ)或者邏輯檢查。

  正如你所看到的,事實證明,這兩個領(lǐng)域其實在很多方面都有交織。

  ITAM的過去和目前的趨勢

  在21世紀初期,IT資產(chǎn)管理和信息安全之間幾乎沒有任何關(guān)聯(lián)。ITAM側(cè)重于通過硬件管理和軟件授權(quán)合規(guī)來贏得企業(yè)的支持。其主要重點是在任何時候知道物理硬件的位置,控制其在企業(yè)的進出,以及利用價格杠桿實現(xiàn)批量購買機會;從軟件的角度來看,其重點是鞏固授權(quán)談判,建立關(guān)于授權(quán)合規(guī)的普遍意識,以及確保供應(yīng)商審計讓成本符合預期。ITAM最初讓人們覺得,IT資產(chǎn)管理人員只是清點“東西”。

  目前的趨勢表明,ITAM在多個方面與數(shù)據(jù)安全流程和關(guān)注領(lǐng)域有著重疊,特別是在報廢處理以及處理過程中的數(shù)據(jù)安全。此外,重疊領(lǐng)域還包括移動庫存控制和風險管理的責任,這側(cè)重于網(wǎng)絡(luò)接入點的管理以及設(shè)備在企業(yè)控制之外的安全性。

  這是這兩個領(lǐng)域之間真正的重疊區(qū)域,這個重疊區(qū)域?qū)⒏嗟腎TAM工具帶到信息安全領(lǐng)域,本來這些工具可能不會存在,或者對于沒有強大ITAM方案的企業(yè),需要專門購買或從零開始開發(fā)。ITAM資產(chǎn)管理控制和報廢處理過程現(xiàn)在已經(jīng)非常成熟,現(xiàn)在資產(chǎn)都有條形碼標簽或RFID標簽,還有成熟的庫存跟蹤系統(tǒng),以及明確到個人的資產(chǎn)分配。這些功能加上信息安全身份管理和強大的訪問跟蹤及訪問管理控制為這兩個領(lǐng)域提供了廣泛的功能,這些功能提供的強大控制能夠解決安全風險,讓企業(yè)更方便地知道在特定時間誰在對特定IT資產(chǎn)做了什么。

  此外,丟失或被盜的資產(chǎn)更容易識別和跟蹤,網(wǎng)絡(luò)通信更好地關(guān)聯(lián)到個人設(shè)備和接入點,并且,企業(yè)可以基于最新ITAM數(shù)據(jù)存儲庫確定軟件為已授權(quán)或未授權(quán)。雖然這里仍然存在一些真正的風險,但IT資產(chǎn)管理程序提供了很好的額外工具來解決數(shù)據(jù)安全問題。

  應(yīng)用的正確部署和使用讓企業(yè)可以更有效地監(jiān)控這些資產(chǎn)。然而,在通信和教育方面,很多企業(yè)還沒有實現(xiàn)的最大回報。成功的ITAM程序在很大程度上依賴于企業(yè)內(nèi)所有人的合作,而這種合作只有在一種情況下才能實現(xiàn),即在正確使用IT方面,員工了解其相應(yīng)職責。雖然IT對于企業(yè)非常有用,IT總是會帶來嚴重風險;但完善的IT資產(chǎn)管理方案可以幫助減輕這種風險。

  對ITAM未來的預測

  ITAM和IT安全有著相似的目標。正因為如此,一些ITAM方案歸IT安全部門管理,或者這兩者都屬于更廣泛的IT運營部門。在某些情況下,ITAM和安全的組合是為ITAM方案獲得資金的唯一途徑。然而,在接下來的兩到五年,ITAM程序和功能,以及信息安全的需求將會以新的有意義的方式交織和重疊。我們將會看到,在一些較大型企業(yè),這兩組控制被融合到具有廣泛職責的單個部門。這里的主要驅(qū)動力是新興的全球定位(GPS)開始整合到各種信息技術(shù)設(shè)備中。在資產(chǎn)追蹤、用戶識別和網(wǎng)絡(luò)訪問控制方面,都會開始出現(xiàn)新的功能。

  現(xiàn)在,網(wǎng)絡(luò)訪問主要通過企業(yè)身份驗證系統(tǒng)來控制,并涉及各種其他技術(shù),例如網(wǎng)絡(luò)訪問控制(NAC)。有些高端系統(tǒng)還能夠限制到特定預先核準的IP地址的訪問。然而,攜帶自己設(shè)備到工作場所(BYOD)趨勢正推動著受IP控制的訪問走得更遠。隨著我們加入GPS,自然的用法是添加GPS到身份驗證協(xié)議,只允許來自特定地理區(qū)域的訪問。隨著這個功能的出現(xiàn),ITAM將可以從資產(chǎn)追蹤的角度進行整合,資產(chǎn)到GPS到唯一標識符的三角追蹤將取代目前笨重的非集成資產(chǎn)標簽。數(shù)據(jù)安全將構(gòu)建在這種功能之上,構(gòu)建在地理位置地圖中,最終第二代功能將綁定位置識別到網(wǎng)絡(luò)訪問,甚至到應(yīng)用使用情況。

  隨著ITAM和IT安全控制共同發(fā)展,你的位置與你是誰的問題將同樣重要。

  未來IT路線圖

  如果你花一些時間思考ITAM的用途、新型GPS式功能以及企業(yè)對數(shù)據(jù)安全的需求,你就能看出事情發(fā)展的趨勢,特別是在現(xiàn)在這個超高風險意識和不斷變化的世界,信息安全威脅源自所有可能的領(lǐng)域:國家支持的網(wǎng)絡(luò)間諜/恐怖主義、無政府主義者和無時不在的經(jīng)濟動機的攻擊。信息安全團隊需要記住的是,IT資產(chǎn)管理是可以帶來優(yōu)勢的趨勢。企業(yè)研究這兩個領(lǐng)域交織的方式,并開始尋找辦法來在未來幾年結(jié)合這兩者相應(yīng)的IT戰(zhàn)略和路線圖。

http://www.fuchuonang.cn/

【「解讀」怎樣通過IT資產(chǎn)管理降低IT安全風險】相關(guān)文章:

資產(chǎn)管理制度管控的風險點02-22

創(chuàng)業(yè)者如何降低創(chuàng)業(yè)風險?08-09

大學生創(chuàng)業(yè)如何降低風險07-24

怎樣通過自我介紹05-27

創(chuàng)業(yè)者如何降低創(chuàng)業(yè)失敗的風險?08-09

創(chuàng)業(yè)者該如何學會降低風險?09-25

怎樣降低公司員工流失率?06-28

風險管理心得03-02

中國通過中醫(yī)藥法草案消息解讀09-17

解讀日本留學簽證提高通過率的方法07-19