全球前十大藥廠-禮來(Eli Lilly),其資安長兼資深事業資訊設計師,也是Jericho的共同創辦人,將解釋如何將Jericho原則導入至禮來內部。
企業與外界各地之間固有的邊界,正迅速地瓦解,創立迄今已4年的安全機構Jericho Forum,在世界結構迅速變化的前提下,提供促進企業資訊安全再進化的新方法。
改變貴公司的催化劑為何?
在2008年開始之際,我們執行長宣佈了一項新策略,那是會更分散式的操作方式,將與所有地區的公司合作夥伴共同合作。他表示,那將帶領禮來從一個「全然整合的製藥公司」,到一個「全然整合的製藥網」。全然整合的製藥網就是指,將運用外部的能力與網路資源,以發揮最大效益;「協同合作」將是我們組織最重要的推動力。
當與外面的組織分享資訊時,你如何控制可能的風險? 我們談論的是有關Jericho之合作導向架構(COA, Collaboration Oriented Architecture)的組織與佈署。過去,委外服務一直都提供一個較低價的成本方式,但是,為了更安全起見,那並不是只要我們能更謹慎就能操作的方式。而採用COA原則,使我們能夠辦到。但是我要強調,全然整合的製藥網並不是IT的東西。它是禮來公司的一個商業目標。透過與外界的組織合作,比起閉門造車我們可做得更多,這是大家都認同的想法。
在如此重視資訊資產的狀況下,你們如何分類與管理資訊? 我們利用微軟的SharePoint作為重要的協同作業工具。目前正在建立身分聯合模型(identity federation models),搭配內建在SharePoint中,由G8(8大工業國組織)所建議的資料分類方式。它就像交通號誌一樣,使用4種顏色:白色、綠色、黃色或紅色(視敏感性的接收等級)來表示不同的分類意義。
每次有人儲存一筆記錄至SharePoint,資大多時候都會是綠色的。將該欄位從綠色的預設值調整為黃色,是那個人的責任,例如,假設他們發現資料是與智慧財產相關的內容或是社會安全號碼等,那就需要調整為更高的分類等級。
許多人懷疑資訊安全是否真能協助企業。這對禮來的營運有何影響? 禮來的其中一個重要品牌精神就是可靠與值得信賴。假如我們能成功地推動「全然整合的製藥網」,意即當我們能夠以更低的成本、更高的彈性同時維持我們的可靠與信賴時,如果資訊安全不是推動者,那麼我不知道什麼才是?
假如組織可開始以更具成本效益的方法做事,而且該方法比它們的競爭對手更安全,那是組織很大的優勢。因為那是全然關乎從你的資訊資產中,在可接受的風險等級內獲得價值。
COA簡介
由J e r i c h o F o r u m所提出之合作導向架構( C O A ,Collaboration Oriented Architecture)是讓企業能與外部合作夥伴協同運作之資訊系統架構。企業與合作夥伴若能成功導入COA架構,代表能安全地透過網際網路互動,並克服網路邊界瓦解所伴隨而來的安全問題。COA的安全要素包含以下幾項:Protocol-使用安全的通訊協定溝通;Authentication-透過使用者與系統憑證做認證;Federation-使用者與系統憑證能被聯合平台所驗證;Network Agnostic-在不可知的網路上運作;Trust-能確保某交易所有元件的信任等級;Risk-能透過C.I.A.等角度確認此協同運作平台上每筆交易的風險。
更多C O A 架構資料請上網查詢: h t t p : / /www .opengroup.org/jericho/
(編輯部整理) |