融合一家企業(yè)的傳統(tǒng)方法是讓員工在同一幢大樓里辦公，而信息科技已經(jīng)動搖了這一點(diǎn)。通過互聯(lián)網(wǎng)聯(lián)接起來的廉價計(jì)算網(wǎng)絡(luò)，已在很大程度上改變了工作的組織方式，促使企業(yè)高管和政策制定者們努力探究隨之而來的機(jī)遇與后果。其中一個后果，就是旨在保護(hù)商業(yè)信息隱私和安全的大戰(zhàn)。如今，企業(yè)花費(fèi)數(shù)十億美元來應(yīng)對10年前想不到的風(fēng)險。

　　就在幾年前，惠普(Hewlett-Packard)還把產(chǎn)品設(shè)計(jì)師與營銷、制造人員安排在同一塊辦公地點(diǎn)。研發(fā)人員可以把正在研發(fā)的產(chǎn)品從樓梯上搬下來，到裝配線上制作原型并進(jìn)行試驗(yàn)。營銷人員可以在午飯時間和設(shè)計(jì)工程師打一場排球，其間雙方會交換有關(guān)客戶需求或競爭威脅的想法。
而今天，這些人中有許多在一個擴(kuò)展了的企業(yè)工作，企業(yè)由分布在全球的多個公司組成，彼此通過網(wǎng)絡(luò)交流。通過網(wǎng)頁瀏覽器，設(shè)計(jì)師就能為遠(yuǎn)在地球另一邊的工廠實(shí)施工程上的修改，采購員就能更動供應(yīng)商訂單，供應(yīng)鏈經(jīng)理就能監(jiān)督工廠的生產(chǎn)狀況，客戶工程師就能協(xié)調(diào)貨物的交付。此等互動環(huán)節(jié)中的每一個，都有可能被人觀察或破壞，對方可能是尋求刺激的年輕黑客，也可能是為了追逐競爭優(yōu)勢而更為別有用心的人。
這些變化并不局限于科技公司。互聯(lián)網(wǎng)戲劇性地增進(jìn)了企業(yè)把工作轉(zhuǎn)移到最高效率地點(diǎn)的能力。例如，沃爾瑪(Wal-Mart)已將許多傳統(tǒng)的零售功能轉(zhuǎn)移給它的供應(yīng)商，采用電子通訊手段協(xié)調(diào)日常采購和供應(yīng)鏈規(guī)劃。而通用汽車(General Motors)之類的汽車制造商，則把產(chǎn)品設(shè)計(jì)職能推給了供應(yīng)商，雙方通過網(wǎng)絡(luò)交換設(shè)計(jì)信息。
由于大企業(yè)紛紛采用外包和其它削減成本的方法，它們正面對新的風(fēng)險，包括供應(yīng)中斷和延誤，共享的知識產(chǎn)權(quán)被盜，以及令客戶失望。這些大企業(yè)整合了針對不同部門的應(yīng)用系統(tǒng)，如制造、分銷、財會和人力資源等。來自不同公司的成員組成虛擬團(tuán)隊(duì)，運(yùn)用一系列個人設(shè)備進(jìn)行交流，包括筆記本電腦、個人數(shù)字助理和手機(jī)等，而這些往往造成易受攻擊的新的薄弱環(huán)節(jié)。
許多老式的制造控制應(yīng)用程序，都是依照獨(dú)立運(yùn)行模式開發(fā)的，很少顧及安全問題。將這些應(yīng)用程序與其它系統(tǒng)整合起來，就可能造成安全漏洞。同樣，當(dāng)兩家公司為了加快信息流動而把它們的網(wǎng)絡(luò)聯(lián)接起來時，由于網(wǎng)絡(luò)安全設(shè)置上的差異，兩個網(wǎng)絡(luò)間仿佛有一扇虛擬旋轉(zhuǎn)門，這又是一個安全漏洞。一個整合網(wǎng)絡(luò)的風(fēng)險級別，往往取決于其中安全系數(shù)最低的企業(yè)。
在全球范圍追蹤和管理工作流，本來就已不易，而一旦外包，則工作及相關(guān)信息就會迅速流向供應(yīng)商的供應(yīng)商，甚至更遠(yuǎn)。在這種情況下，企業(yè)可能涉及幾千家公司。
雷神飛機(jī)公司(Raytheon Aircraft)對此深有體會。該公司是防務(wù)承包商“雷神”的一家子公司。去年夏天，它與國際商業(yè)機(jī)器公司(IBM)簽訂了一份實(shí)施其企業(yè)軟件項(xiàng)目的外包協(xié)議。當(dāng)IBM表明，為了壓低成本，它打算利用印度的承包商時，雷神的高管立刻意識到自己遇到了問題。由于該項(xiàng)目涉及有關(guān)飛機(jī)設(shè)計(jì)的敏感數(shù)據(jù)，如果按原計(jì)劃履行合同，那么該公司將違反美國法規(guī)。為了保住這樁交易，IBM同意，在開發(fā)出一套安全管理系統(tǒng)之前，它會把這個項(xiàng)目留在美國本土完成。
從收件箱里刪除中毒的電子郵件，已成了人們的一項(xiàng)例行公事，仿佛是開始又一天工作的儀式之一。然而，我們很容易對這些小小的安全疏漏視熟視無睹，將其視為互聯(lián)網(wǎng)時代的小麻煩。事實(shí)上，小失誤往往會導(dǎo)致極為嚴(yán)重的后果。
那些指望用科技解決安全問題的人將會失望，因?yàn)榫瓦B那些出售技術(shù)解決方案的企業(yè)都會立刻承認(rèn)其不足。今年5月在塔克商學(xué)院(Tuck Business School)舉行的一次峰會上，來自各行各業(yè)的首席信息官都同意這樣一種看法：信息安全是一個管理問題，應(yīng)對這個問題需要結(jié)合企業(yè)文化、教育以及有效的風(fēng)險評估。
80年代，當(dāng)許多歐美制造商面臨與日本越來越大的質(zhì)量差距時，它們發(fā)現(xiàn)，質(zhì)量的突破不能由質(zhì)控部門單獨(dú)實(shí)現(xiàn)，而必須成為整個企業(yè)文化的一部分。同樣，安全是每個人的責(zé)任。企業(yè)管理者不能消極待命，坐等信息安全警察的保護(hù)。信息主管必須闡明風(fēng)險，而高管必須權(quán)衡這些風(fēng)險。
思科公司(Cisco)的首席信息官布賴德•波斯頓(Brad Boston)描述了，他的部門如何從交通警角色(即對管理者的要求作出肯定或否定答復(fù))，轉(zhuǎn)變?yōu)閹椭�管理者作出好的決策。“我們的職責(zé)，是指明風(fēng)險以及此等風(fēng)險所構(gòu)成的實(shí)際威脅，并告訴他們各種應(yīng)對方案。然后，他們會作出有關(guān)哪些風(fēng)險可以接受，哪些風(fēng)險不能接受的商業(yè)決策。”
企業(yè)上下的每一層都負(fù)有這種責(zé)任，直至董事會。一位首席信息官抱怨說，當(dāng)他向董事會演示最新的IT應(yīng)用技術(shù)時，董事們的眼睛發(fā)亮了。而當(dāng)他談到安全問題時，他們就心不在焉。董事會內(nèi)部有成員了解各種風(fēng)險，并能幫助其他成員看到此等風(fēng)險，對于有效的IT管理是至關(guān)重要的。
如何在企業(yè)內(nèi)開展IT安全風(fēng)險知識的教育呢？首先，此種教育應(yīng)針對具體職能并具有相關(guān)性。有太多安全管理者只是在散布恐慌心理，大喊狼來了以提高人們的意識。這種做法在短期能夠贏得注意力，但沒有長期效果。對首席信息官來說，要贏得并維持其他高管的信心，就需要從商業(yè)角度闡明風(fēng)險和機(jī)遇，而不僅僅是預(yù)報厄運(yùn)。
嘉吉公司(Cargill)的全球信息保護(hù)經(jīng)理斯哥特•戴(Scott Day)向人們介紹了這一農(nóng)業(yè)集團(tuán)是如何劃分其培訓(xùn)的。“我們識別了各種角色，以及擔(dān)當(dāng)這些角色的業(yè)務(wù)部門領(lǐng)導(dǎo)。業(yè)務(wù)經(jīng)理需要知道什么？他的決策權(quán)將如何受到影響？我們之所以開展這項(xiàng)工作，是因?yàn)槲覀冋J(rèn)為這么做有助于將此種知識融入企業(yè)文化。當(dāng)每個人都知道自己的職責(zé)，以及自己須如何負(fù)責(zé)時，他們就會去準(zhǔn)備自己需要的東西，并確保自己不會落伍。”
其次，在擴(kuò)展了的企業(yè)中實(shí)現(xiàn)安全保障，需要對供應(yīng)商和客戶都進(jìn)行仔細(xì)審查，換句話說，要對它們構(gòu)成的安全風(fēng)險進(jìn)行持續(xù)評估。應(yīng)向它們提供相關(guān)的風(fēng)險警告，并鼓勵它們改進(jìn)安全工作。例如，許多金融企業(yè)要求客戶使用最新版本的網(wǎng)頁瀏覽器，這既保護(hù)了自己，也保護(hù)了客戶。
有時候，保護(hù)擴(kuò)展了的企業(yè)，意味著不與那些風(fēng)險超過潛在效益的公司合作。富達(dá)公司(Fidelity)管理研究部的首席信息官吉姆•麥克唐納(Jim MacDonald)表示，信息安全方面的問題，已經(jīng)影響到該公司對合作伙伴的選擇。
“對我們來說，與那些小型科技公司極富創(chuàng)意的系統(tǒng)合作是一個問題。我們喜歡那些公司，因?yàn)樗鼈兡軒椭�我們獲得競爭優(yōu)勢，”他說道，“(但)當(dāng)我們進(jìn)入這些公司做安全評估時，(我們發(fā)現(xiàn))安全往往不是這些公司重視的領(lǐng)域，而是它們的不足之處。對于是否與這類公司合作，我們的決定要更慢：我們看到了它們的技術(shù)，棒極了，但它們就是(對安全)重視不足。”
根據(jù)IT安全風(fēng)險來評價供應(yīng)商，與評估它們的財務(wù)風(fēng)險或質(zhì)量同樣重要。正如通用汽車的供應(yīng)鏈主管馬克•希爾姆(Mark Hillman)所說的：“如果你有許多外包項(xiàng)目，那你就得戳一戳每一個人。”在這里“戳”是指評估信息安全風(fēng)險，然后監(jiān)督這種風(fēng)險，如同監(jiān)督這家供應(yīng)商可能帶來的任何其他風(fēng)險。這意味著確保供應(yīng)商在接入你的系統(tǒng)時不會損害你的網(wǎng)絡(luò)安全，確保它們的安全措施足以保護(hù)你與之共享的知識產(chǎn)權(quán)。在一個擴(kuò)展企業(yè)的新世界里，安全問題決不能被掉以輕心。