【IT168 专稿】2006年5月,一起笔记本电脑失窃案在美国引起轩然大波。
5月3日,美国退伍军人署的一位分析师在没被授权的情况下,把一台笔记本电脑带回了马里兰州郊区的家。这台笔记本记录了自1975年以来的2650万美国退伍军人的个人信息(包括姓名、社保号码、生日、配偶情况和残疾记录等等)。
不巧的是,当天,这位分析师家遭人行窃,记录大量机密信息的笔记本和外置硬盘就此不翼而飞。一时间,数千万退伍军人的个人信息面临被大规模泄露的威胁。
值得庆幸的是,一个多月之后,两名年仅19岁的小偷落入法网,笔记本最终失而复得。之后,美国联邦调查局也确认电脑中的机密数据没有受到危害。
然而,这场看似虚惊一场的失窃案却再次向人们敲响了IT风险的警钟。
美国退伍军人
如今,掌握大量公众信息的政府和公共事业部门对IT系统的依赖程度越来越大。然而,IT系统在帮助政府为市民提供了更便捷服务的同时,IT风险却也悄然而至。
澳大利亚国家审计局曾经对六个政府部门(海关,澳大利亚联邦警察局,澳大利亚放射物保护和核安全局,就业和劳动关系部,产业、旅游和资源部,健康保险委员会)的进行了安全检查。结果发现,澳大利亚政府关键部门的计算机系统非常脆弱,根本不足以抵抗信息安全破坏和威胁。
那么,一旦飓风毁坏了政府的数据中心、黑客对政府网站发起DDoS攻击、或是政府采用的某关键软件的制造商关门倒闭,受此影响的已经不再只是IT部门那么简单了。它导致的直接后果很可能是医生不能访问病人的记录;乘客无法办理登记手续;警察无法追踪犯罪;甚至公民的隐私被公之于众。
可见,IT风险意味着的是整个政府所面临的风险。
备战IT风险
IT风险已经无处不在。黑客、垃圾邮件发送者、病毒制造者和其它试图窃取数据和破坏系统的人,都可以成为制造风险的主角。个人隐身和信息安全毫无疑问已经处在了食物链的顶端。
美国Protiviti公司的技术风险执行总裁布拉特.布朗提出,在911事件之后,物理安全和信息安全的界限也开始变得越来越模糊。因此,在考虑到物理风险之外,政府CIO还必须考虑身份认证的管理风险。例如,不仅仅是对办公楼的物理保护,还有哪些人可以访问办公楼,哪些人既可以访问办公楼又可以访问网络,有哪些访问类型,如何分隔不同的访问类型等等。此外,公用电话网络和电力网格也在政府信息主管防御IT风险的考虑范围之内。
除开这些运营风险,政府CIO还需要处理各种项目风险。这涉及到开销花费、截至期限、技术专利的限制、不再受到支持的技术,以及项目的彻底失败等等。正如美国IT咨询公司Robert Frances集团主席卡尔.布劳恩斯坦所言:“IT风险其实是业务和运营风险的一部分”。
“就像医生也会生病、警察也有可能被攻击一样,IT风险是不可能避免的,关键要看怎样才能将风险出现的可能压缩到最小。”全球知名IT研究与顾问咨询公司Gartner的信息安全与风险研究副总裁里奇.莫古指出,通常在采取防范风险的行动之前,风险管理首先要做好三个步骤:
第一个步骤是定义风险容忍度。
它的关键在于定义哪些情况对本政府部门来说是可以接受的。通常来说,这项过程是由比信息主管更高级别的管理层来决定的。因为在这项过程中,需要详细列出各项后果,例如,花费开销、责任、政治问题。如果出现了状况,那么整个机构都需要接受这些后果。
第二个步骤是确定所有可能出现的风险。
正像政府的战略计划要列出本部门的每一项优势、劣势、机遇、危险一样,风险管理也要尽力找出每一项潜在的风险。只有在能够确认出所需要面对的风险的时候,风险管理计划才能够进行下去。
第三个步骤是对每个风险进行评估。
风险评估是指估算风险的构成、风险会如何出现以及会造成怎样的损失。信息主管可以参考一些形式化方法来协助风险评估过程,例如,由美国信息系统审计与控制协会(ISACA)制订的信息系统及技术控制目标(COBIT)标准。COBIT中的评估程序涉及的内容相当广泛。它可以帮助机构评估当前状态、发现消除或者减少特定风险的方法,欧洲、南非和澳大利亚的许多政府机构已经采用这套方法。
与IT风险过招
一旦机构完成了对可能出现的风险的评估,就该采取行动来应对风险了。在经典的风险管理中,有四条基本的方法来应对风险,它们分别是:接受、避免(例如取消危险的项目)、转移(通常使用购买保险的方法)以及缓和。这些方法同样适用与政府和公共部门的IT风险管理。
接受风险是指项目团队不变更项目计划,选择面对项目风险并接受风险事件的后果。专家指出,接受可以是主动的、积极的(例如,制定应急战略和计划,如果风险发生,则按应急计划实施),也可以是被动的、消极的(未制订应对战略,值日团队在风险发生时再想办法)。
风险回避是指改变项目计划以消除风险或风险条件以保证项目目标的实现。项目团队不可能回避所有风险,但是可避免一些具体的风险。
风险转移是指通过应对措施将风险的影响转移给第三方。转移风险并不是消除它,而仅仅是将其管理责任交给第三方。
风险缓和是将风险的概率或其影响降至可接受的水平(例如采用成熟的技术可减少项目产品不能使用的可能性)。一般而言,采取预防措施阻止或缓和风险发生比风险发生后再弥补其造成的损失费用要低、效果要好。
美国特拉华州技术与信息部部长托马斯.杰瑞特曾发起过一场针对全州各政府技术用户的教育计划。活动内容包括分享最近网络上恶意代码的报告、从Web上下载免费程序破解密码等,以此来帮助政府其他部门了解信息部门在减缓安全风险中的作用。这项教育活动最终为他赢得了更多的用以减缓各种IT风险的合作和拨款。
当下,政府的信息主管不仅需要管理IT风险,还需要管理整个政府机构面临的风险。例如在财务系统管理上,负责IT和财务的政府官员需要共同面对风险,共同为系统的完整性负责。SAS政府与公共事业部的市场总监法雷尔曾表示,目前的CIO负有越来越多的责任,他们需要随时准备去应对非技术性的风险,即使他们并没有正式地被赋予扮演这种角色的权利。
据了解,其实在美国,一些CIO已经把自身的角色定位为“公共干事”,从事起越来越多的政治活动。其中一些人甚至拥有法律或者公共政策等相关的背景。
做好灾难计划
在风险管理事务中,政府CIO涉及的另一个领域是灾难计划。虽然这些准备工作需要花费大量的资金,但是它们在IT管理中却必不可少。以美国“9.11”事件为例,当时受到破坏的纽约证券交易所和其它华尔街机构,之所以能够在不到一周的时间内完全得以恢复并投入运营,原因就在于他们预先做了非常充分的灾难计划和测试。
目前,特拉华州技术与信息部正在与相关部门一起为美国政府制作“全国传染病灾难计划”。IT负责人杰瑞特在介绍该项目时表示,为了阻止流感或其他传染病的传播,政府在疫情发生期间,很有可能需要关闭一些办公场所。那么,如何保证政府继续为公民提供服务?这就需要一套全新的IT系统,使得政府雇员可以在家办公,又将黑客阻拦在外。另外,如果每个政府雇员都呆在访问各自的工作系统,还必须有一个能够承受这样压力的网络。
在灾难计划制定的过程中,与其他部门同事的沟通非常重要。杰瑞特表示,一方面IT人员要让相关人员了解紧急响应计划对信息系统的依赖程度,以及这些系统在灾难中生存下来的重要性。另一方面,IT人员还要与其他部门一道研究整个灾难恢复业务流程,以保证非常时期IT系统对各项业务的支持。
“IT风险管理的内容 现在远比我们四五年前所能想到的要多得多,它已经成为我们工作的主要内容之一了。”杰瑞特如是说。
