MIT研究结论:如何从总体质量管理的角度确保企业IT安全

标签:重磅推荐解决方案安全

访客:22853  发表于:2012-03-01 16:48:43

总体质量管理的概念由来已久。各种类型和规模的机构都长时间地使用 TQM 来持续改进各个经营环节,从零售商店的运营到研发、从制造到供应链。

但直到现在,TQM这个概念才被应用到企业越来越关心的环节上,即网络安全性。 

对许多机构来说,安全涉及到整个企业,而客户、供应商及合作伙伴之间的相互关系又使安全的适用范围得以进一步延伸。实际情况是,每个机构都不是独立的个体,难免遇到安全漏洞、威胁和违规等问题,因此必须做好随时应战的准备。

管理运营安全性最大的两个难题首先是判断公司当前的经营成效,其次是了解实际经营状况是否满足目标的要求。遗憾的是,现在开展的大多数安全分析都基于少数专家所做的安全评估或使用安全评估工具收集到的片面数据。这两类评估方法都侧重安全体系的局部环节,如密码策略和防火墙技术,或者只评估平均故障时间等少数问题。 

这些不全面的方法常忽略了安全策略本身,特别是用户对这些策略的理解,使公司难以准确评估安全战略的效力并确定安全差距出现在哪些位置。不完整或不准确的信息将导致浪费经费、自负和准备不足等问题,更糟糕的是,可能使公司因违反安全规定而被迫停运。

新方法 

麻省理工学院斯隆管理学院(MIT Sloan School of Management)教务长 Madnick 和 Michael Siegel 教授发明了简单的调查工具,可帮助公司了解安全并评估员工和经理人对安全的理解。这个调查工具借鉴了TQM的概念,允许以全面而科学的方法评估安全性。

总体质量管理涉及到质量控制和管理两类工具,允许员工和管理层参与到长期改进经营状况的工作中。TQM要求机构选对起点,然后再持续改进。

Madnick 和 Siegel 约发现了300个安全问题并通过这些问题定义了三个主要的安全原则:确保可访问性、最大限度地减少安全漏洞、保证机密性,分别与安全专家所谓的“可用性、完整性和私密性”相对应。 

这些安全原则的支撑点是五个运营支柱:

用于确保安全的技术资源 

安全的经济支柱 

面向安全的商业战略 

安全策略和程序 

安全文化 

主观理解与客观事实 

MIT调查旨在确定从一线员工到最高管理层的机构内部各职能部门以及扩展企业在理解安全方面存在哪些差异。 

调查工具本身是一份只需15分钟即可完成的简单的调查问卷。答题人只需针对其机构的安全状况为一系列陈述评分即可,具体来说:

机构中特殊安全问题的现状(例如,员工是否了解什么是良好的安全实践) 

安全问题对机构有多重要 

合作伙伴机构安全问题的现状 

安全问题对合作伙伴机构有多重要 

差距分析是这次调查的重点之一。例如,机构应考察经理为指定的安全问题分配的重要级别以及他们对问题现状的看法。发现理解上的差异使机构能够了解安全策略中有待改进的领域以及如何增强员工对这些策略的了解。

通过分析调查反馈,机构可以更好地了解安全需求、部署更适当的安全技术和策略,并确保持续提高安全工作的成效。 

供应商和集成商也可使用这个调查工具来开发更有效的安全战略、产品及服务。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");