扩展型企业面临愈加严峻的安全形势

信息安全首先是个管理问题

因特网大大改变了企业开展工作的方式，以至于主管人员、管理理论家和决策者们都在努力探究种种机遇和后果：机遇（如外包）大大降低了成本、带来诸多新的商业模式；后果（如竭力保护信息的隐私性和安全性）则让公司蒙受重大经济损失，带来十年前想象不到的风险。

对惠普这样的公司来说，近几年变化着实惊人。仅仅几年前，惠普还把产品设计师、营销人员和制造人员安排在同一办公园区内。研发人员把工作台上的产品从楼梯上搬到装配线上，制作原型、进行试验；营销人员在午饭时间与设计工程师一起打排球，交流客户需求或者竞争威胁方面的想法。如今，这些人有许多在扩展型企业（Extended Enterprise）工作。这种企业由分布在全世界的公司组成，通过网络进行联系。

当然，不只是惠普才会有上述变化，因特网已经使各种类型或规模的公司可以把工作转移到最有效率的地方。譬如，沃尔玛已把许多传统的零售职能转移给供应商，如今要求所有供应商一律采用电子通信手段，以协调例行采购和供应链规划。同样，通用汽车（GM）等汽车生产商把产品设计职能重新交给了供应商，如今通过网络与全世界的供应商交换详细的产品设计信息。这种日益依赖信息可用性的现实，加上日益担心网络安全，已促使许多跨国公司往安全的企业计算平台上投入巨资。

如今，由于几乎各大公司纷纷采用外包、低成本采购，它们面临本公司内部以及供应商之间的风险。这些风险包括供应中断和延迟、知识产权失窃、客户失望等。为了加快企业各个方面的流程，公司把从制造、分销、会计到人力资源的诸多应用系统连接起来，这样一来，它们往往会在无意中暴露出来新的安全漏洞。譬如说，许多比较老的制造控制应用系统都是为了独立运行而开发的，很少考虑到安全，集成导致这些系统暴露在其他业务系统面前，往往会出现许多安全漏洞。同样，如果两家公司为了加快信息流动而把各自的网络连起来，这也会导致新的漏洞。

单单跟踪及管理全球范围的工作流就颇具挑战性。一旦外包出去，工作及相关信息会迅速流向供应商的供应商。从顾客开始，再到最小的供应商，一家扩展型企业在此过程中有可能牵涉上千家公司。要控制扩展型企业的敏感信息，难度就变得更大。雷神公司对此深有体会：去年夏天，雷神公司与IBM签订了一份外包协议，由IBM为其管理它所实施的SAP项目。IBM表明打算雇用印度的分包商以压低成本后，雷神的主管人员马上意识到自己遇到了问题。遵守美国的法规、确保敏感的飞机设计数据不会遭到破坏，并非易事。由于从工资单管理到给病人开账单的各项工作外包出去，有关隐私和数据安全的问题随之迅速出现。

单靠IT技术解决不了问题

那些指望技术可以解决安全问题的人会大所失望。连销售技术解决方案的公司也乐于承认：光靠技术提供不了安全。最近在塔克商学院数字战略中心和思科公司联合举办的一次峰会上，来自各行各业的CIO们探讨了安全管理方面的成果与难题。他们非常同意这种看法：信息安全首先是个管理问题。安全管理成功的关键是企业文化、安全教育及行之有效的风险评估。

许多人忍不住会想：IT安全是信息技术小组的职责，但事实绝非如此。质量管理革命盛行期间，质量迅速得到提高的是那些认识到单单质量控制部门无法确保质量的公司，质量控制必须成为组织文化的一部分。与质量一样，安全也是每个人的职责。业务经理不能消极以待，坐等信息安全警察给予保护。信息主管必须阐明风险，而主管人员必须共同权衡这些风险。思科公司的CIO Brad Boston描述了他们是如何从单单对业务经理的要求做出肯定或否定答复，变成帮助他们做出明智决策的：“我们的工作就是，确认风险以及该风险实际发生的威胁，然后告知应当采取哪些补救方案。随后，业务经理对哪些风险可以接受、哪些风险无法接受做出决策。组织上下的每一层都有这种责任，包括董事会。”一位CIO抱怨说，他向董事会介绍新款应用软件时，大家两眼放光，可是当他谈到安全问题时，大家却变得两眼呆滞。要确保信息技术管理行之有效、建造注重安全的企业文化，关键是让了解风险的董事会成员帮助其他成员认识到这些风险。

整个组织上下开展安全教育跟建造安全文化一样重要。安全需要整个组织关注细节。不过，安全教育要有针对性，还要与每个人的职责有关。仅仅散布恐慌心理对提高安全无济于事。而太多的安全经理喊着“天塌下来了”，只是为了引起人们的注意。这种做法一开始能得到一些人的注意，但长此以往没啥效果。对CIO们来说，要赢得并维持其他高层管理人员的信任，就需要从业务角度阐明风险和机遇--而不仅仅是危言耸听。

嘉吉公司的全球信息保护经理Scott Day介绍了这家农业联合大企业是如何划分其培训工作的。“我们确认了各种角色以及担当这些角色的业务部门领导。业务经理要知道什么？他不需要从技术上来了解TCP/IP，但要知道这对其决策权有何影响？我们开展这项工作，是因为我们认为，这么做有助于把安全教育融入到企业文化当中。如果每个人都知道职责所在、该怎样去负责，他们就会去获取需要的东西，确保自己不落伍。”
　　
最后，扩展型企业要获得安全，需要认真细致地审查供应商和客户，不断评估它们所带来的安全风险。譬如，让顾客意识到种种风险，促使他们采用更有效的安全策略。对许多金融公司来说，迫使客户采用最新版本的网络浏览器这样的做法既保护了客户，又保护了公司自己。有时，保护扩展型企业意味着不要与那些风险超过商业利益的公司合作。诚信管理研究公司的CIO Jim MacDonald介绍了信息安全问题如何影响到他公司在合作方面的做法。“对我们来说，与那些拥有优良创新系统的小型技术公司合作是个问题。原因在于，我们往往喜欢那些公司，因为它们能帮助我们获得竞争优势。可是一旦我们过去进行安全评估，就会发现，安全通常不是这些公司关注的方面。对于是否与这类公司进行合作，我们较为慎重，之所以不太满意，是因为觉得虽然技术不错，但它们对安全根本不够重视。”

根据IT安全风险确定供应商合不合格与评估其财务风险或质量一样重要。正如通用汽车的供应链主管Mark Hillman所言：“如果你有许多外包项目，就要刺探每个人。”这里的“刺探”是指评估外包风险，然后像对待供应商可能带来的其他风险那样对其加以监控。这意味着确保供应商对你内部系统的访问不会危及你的网络，或者确保它们自身的安全足以保护彼此共享的知识产权。在扩展型企业大行其道的这个新世界，绝不能对安全掉以轻心。