应对经济不确定性的安全优化策略

应对经济不确定性的安全优化策略应对经济不确定性的安全优化策略应对经济不确定性的安全优化策略应对经济不确定性的安全优化策略：：：：解决复杂安全问题的简单解决方案解决复杂安全问题的简单解决方案解决复杂安全问题的简单解决方案解决复杂安全问题的简单解决方案PeterAllor高级安全战略专家，网络事件与安全漏洞处理项目经理IBMISSPeterAllor–负责运营战略负责运营战略负责运营战略负责运营战略CSIS，第44任美国总统网络安全委员会IT-SCC(资讯科技部门协调执行委员会)，执委会委员FIRST(事件响应与安全组织论坛，执委会委员和理事会理事)IT-ISAC(资讯科技部–资讯分享与分析中心)，理事会理事2IT-ISAC(资讯科技部–资讯分享与分析中心)，理事会理事IBMISSX-Force，事故响应、安全漏洞协调和供应商关系管理部门产品经理ICASI(互联网高级安全行业联盟)委员现在的真实业务情况现在的真实业务情况现在的真实业务情况现在的真实业务情况：：：：风险越来越大风险越来越大风险越来越大风险越来越大、、、、资源越来越少资源越来越少资源越来越少资源越来越少降低运行成本降低运行成本降低运行成本降低运行成本
延期招聘IT新人，延期实施长期项目，转而去关注能够在短期内实现投资回报(ROI)的新计划
希望提高现有基础架构的利用率“经济的不稳定导致就业机会减少，公司预算紧缩，安全分析家警告各公司要特别警惕持有不满情绪的员工破坏数据和网络。”计算机世界计算机世界计算机世界计算机世界–2008年年年年10月月月月14日日日日现在的经济现在的经济现在的经济现在的经济……您的真实情况您的真实情况您的真实情况您的真实情况3管理制度遵从问题管理制度遵从问题管理制度遵从问题管理制度遵从问题
从1981年到现在，美国共为企业、机构和政府机关制订了大约11.4万项新制度
大约33%的客户指出，如果他们的供应商出现安全违规问题，他们将与之断绝关系管理日益加剧的风险管理日益加剧的风险管理日益加剧的风险管理日益加剧的风险
欺诈和其他经济犯罪的风险日益加剧
不满的员工带来了越来越多的威胁
每小时意外中断的平均成本=$42,000/1000次交易“经济困难期带来了工作上的不确定性，给员工造成了压力，导致公司受到威胁的几率进一步增加。”ShelleyKirkpatrickManagementConcepts实时接入信息流数十亿移动设备访问万维网欢迎来到充满无尽机会的新大陆欢迎来到充满无尽机会的新大陆欢迎来到充满无尽机会的新大陆欢迎来到充满无尽机会的新大陆…智慧的地球智慧的地球智慧的地球智慧的地球全球化以及在全球范围内提供的资源4全新协作方式新新新新技术技术技术技术。。。。新新新新复杂性复杂性复杂性复杂性。。。。新新新新风险风险风险风险。。。。数据和信息量激增数据量每隔18个月翻一番围绕着信息上下文的存储、安全和发现技术变得越来越重要新兴技术虚拟化和云计算增加基础架构复杂性应用是容易发生安全违规和安全攻击事件的薄弱点无线世界移动平台发展成为全新的身份识别方法这些新机会伴随着新风险这些新机会伴随着新风险这些新机会伴随着新风险这些新机会伴随着新风险5供应链供应链的安全级别与最薄弱的链路相同…合作伙伴需要承担制度遵从风险并且对故障负责公众希望不被打扰将安全性集成到基础架构、流程和应用中，是渴望，或是期望制度遵从挑战公司试图在安全性与制度遵从投资之间实现均衡并且维持均衡移动平台发展成为全新的身份识别方法与用于保护PC的安全要求相比，安全技术落后多年全球市场趋势对我们大家都形成了压力全球市场趋势对我们大家都形成了压力全球市场趋势对我们大家都形成了压力全球市场趋势对我们大家都形成了压力我们生活在一个真正实现了全球整合的世界我们生活在一个真正实现了全球整合的世界我们生活在一个真正实现了全球整合的世界我们生活在一个真正实现了全球整合的世界经济低迷和不确实产生了广泛影响能源短缺和日用品价格波动全新客户需求和业务模式信息激增及风险/机会的增长各机构在有效实现下述目标方面遇到了压力各机构在有效实现下述目标方面遇到了压力各机构在有效实现下述目标方面遇到了压力各机构在有效实现下述目标方面遇到了压力：：：：6各机构在有效实现下述目标方面遇到了压力各机构在有效实现下述目标方面遇到了压力各机构在有效实现下述目标方面遇到了压力各机构在有效实现下述目标方面遇到了压力：：：：管理运行成本和复杂性提供持续的服务可用性和高质量体验迎接前所未有的安全性、永续性和制度遵从挑战利用新兴技术来推动业务创新、提高效率及响应性““““过去十年发生的变化过去十年发生的变化过去十年发生的变化过去十年发生的变化，，，，比以前的比以前的比以前的比以前的90年还要猛年还要猛年还要猛年还要猛烈烈烈烈。。。。”AdJ.Scheepbouwer,CEO,KPNTelecom地球正朝着地球正朝着地球正朝着地球正朝着可感知可感知可感知可感知（（（（instrumented）、）、）、）、互联互通互联互通互联互通互联互通（（（（interconnected））））与智与智与智与智慧化慧化慧化慧化（（（（intelligence））））的方向发展的方向发展的方向发展的方向发展。。。。IT创新创新创新创新：：：：需要通过新方法来保护全新方式的协作制度遵从开销制度遵从开销制度遵从开销制度遵从开销：：：：投资购买更多的点产品来解决更多的点问题新方法和新动机新方法和新动机新方法和新动机新方法和新动机：：：：复杂性和风险数量继续增加真正的真正的真正的真正的安全问题安全问题安全问题安全问题7全球经济全球经济全球经济全球经济：：：：驱动全新的安全支持要求经营方法的灵活性经营方法的灵活性经营方法的灵活性经营方法的灵活性：：：：提高运行效率和客户服务水平复杂性仍然是最棘手的安全问题复杂性仍然是最棘手的安全问题复杂性仍然是最棘手的安全问题复杂性仍然是最棘手的安全问题！！！！*在业务形态不断发展的环境中在业务形态不断发展的环境中在业务形态不断发展的环境中在业务形态不断发展的环境中，，，，集成是管理成本和复杂性的关键集成是管理成本和复杂性的关键集成是管理成本和复杂性的关键集成是管理成本和复杂性的关键*InformationWeek2008SecuritySurvey并非所有的风险都拥有相同系数并非所有的风险都拥有相同系数并非所有的风险都拥有相同系数并非所有的风险都拥有相同系数每年发生频率1,00010010频率病毒蠕虫磁盘故障系统可用性问题应用中断数据破坏网络问题缺乏管理81011/101/1001/1,0001/10,0001/100,000$1$10$100$1,000$10k$100k$1M$10M$100M频率每起事件的损失（美元）低高流行病自然灾害网络问题大楼火灾恐怖袭击/社会动荡无法满足规章制度的要求工作场所不易接入无法满足行业标准的要求地区断电单点产品不是完整的安全解决方案单点产品不是完整的安全解决方案单点产品不是完整的安全解决方案单点产品不是完整的安全解决方案…在安全性与成本之间找到均衡点公理是…永远不要为了保护一匹价值10美元的马匹而去搭建100美元的篱笆（得不偿失）研究表明，帕累托法则（80-20规则）适用于IT安全性*经证实经证实经证实经证实，，，，87%的安全违规事件都可通过的安全违规事件都可通过的安全违规事件都可通过的安全违规事件都可通过合理的控制合理的控制合理的控制合理的控制得得得得到避免到避免到避免到避免*成本成本成本成本效力效力效力效力复杂性复杂性复杂性复杂性压力压力压力压力9少量投资关键安全控制工具，将实现巨大的成效关键控制工具能够帮助企业解决各级风险问题使用关键安全控制工具的机构使用关键安全控制工具的机构使用关键安全控制工具的机构使用关键安全控制工具的机构，，，，绩效远远高于及其他绩效远远高于及其他绩效远远高于及其他绩效远远高于及其他机构机构机构机构**来源：W.H.Baker,C.D.Hylender,J.A.Valentine,2008数据违规调查报告,VerizonBusiness,06/2008ITPI:ITProcessInstitute,EMA12/2008灵活性灵活性灵活性灵活性时间时间时间时间安全优化可帮助您提高运行效率和安全优化可帮助您提高运行效率和安全优化可帮助您提高运行效率和安全优化可帮助您提高运行效率和IT能力能力能力能力–节省开销节省开销节省开销节省开销，，，，用于投资全新解决方案用于投资全新解决方案用于投资全新解决方案用于投资全新解决方案全新解决方案通过直接节约或者转换投资方式来释放资金100%IT开销开销开销开销–释放资金释放资金释放资金释放资金10IT开销运行支持运行维护应用增强战略性的变革能力战略性的变革能力战略性的变革能力战略性的变革能力运行成本运行成本运行成本运行成本运行维护运行支持全新解决方案应用增强““““安全优化服务安全优化服务安全优化服务安全优化服务””””安全优化方法安全优化方法安全优化方法安全优化方法重新定义并简化风险管理流程重新定义并简化风险管理流程重新定义并简化风险管理流程重新定义并简化风险管理流程重新评估工作优先级重新评估工作优先级重新评估工作优先级重新评估工作优先级，，，，以便在挑战不断变化的形以便在挑战不断变化的形以便在挑战不断变化的形以便在挑战不断变化的形势下更好地控制风险势下更好地控制风险势下更好地控制风险势下更好地控制风险建立完整的安全框架和解决方案组合建立完整的安全框架和解决方案组合建立完整的安全框架和解决方案组合建立完整的安全框架和解决方案组合利用创新和集成来构建完整的安全性和利用创新和集成来构建完整的安全性和利用创新和集成来构建完整的安全性和利用创新和集成来构建完整的安全性和IT基础架基础架基础架基础架构构构构11简化安全风险的生命周期简化安全风险的生命周期简化安全风险的生命周期简化安全风险的生命周期与业务流程保持一致与业务流程保持一致与业务流程保持一致与业务流程保持一致，，，，以确保持续改进以确保持续改进以确保持续改进以确保持续改进与具有变革能力的安全合作伙伴合作与具有变革能力的安全合作伙伴合作与具有变革能力的安全合作伙伴合作与具有变革能力的安全合作伙伴合作，，，，实现这些新实现这些新实现这些新实现这些新世界计划世界计划世界计划世界计划添加一流的专业知识添加一流的专业知识添加一流的专业知识添加一流的专业知识，，，，为现在和将来取得成功奠为现在和将来取得成功奠为现在和将来取得成功奠为现在和将来取得成功奠定基础定基础定基础定基础IBM安全解决方案通过安全解决方案通过安全解决方案通过安全解决方案通过““““安全优化功能安全优化功能安全优化功能安全优化功能””””支持可持续的支持可持续的支持可持续的支持可持续的业务增长业务增长业务增长业务增长旨在旨在旨在旨在：：：：
通过安全的端到端基础架构和平台来实现创新通过安全的端到端基础架构和平台来实现创新通过安全的端到端基础架构和平台来实现创新通过安全的端到端基础架构和平台来实现创新
降低所需安全控制工具的数量和复杂性降低所需安全控制工具的数量和复杂性降低所需安全控制工具的数量和复杂性降低所需安全控制工具的数量和复杂性
降低重复的安全开销降低重复的安全开销降低重复的安全开销降低重复的安全开销1212
提高组织和运行灵活性及永续性提高组织和运行灵活性及永续性提高组织和运行灵活性及永续性提高组织和运行灵活性及永续性
利用专业行业知识来帮助客户统一策略管理流程利用专业行业知识来帮助客户统一策略管理流程利用专业行业知识来帮助客户统一策略管理流程利用专业行业知识来帮助客户统一策略管理流程
提供所需的可视性提供所需的可视性提供所需的可视性提供所需的可视性、、、、控制能力和自动化支持控制能力和自动化支持控制能力和自动化支持控制能力和自动化支持IBM系统部系统部系统部系统部8家安全运行家安全运行家安全运行家安全运行中心中心中心中心9家安全研发家安全研发家安全研发家安全研发中心中