有關(guān)IT安全的五大變化
IT安全往往是個(gè)吃力不討好的任務(wù),因此只有當(dāng)IT安全無(wú)法保障的時(shí)候,別人才會(huì)注意到它。為了在虛擬化、智能手機(jī)、云計(jì)算時(shí)代也做好此工作,必須避免技術(shù)和政治錯(cuò)誤。以下是IT安全經(jīng)理應(yīng)該注意的5點(diǎn)變化:
1. 公司業(yè)務(wù)形態(tài)已經(jīng)發(fā)生變化
事實(shí)并非如此。現(xiàn)在大部分公司都會(huì)允許員工在上班時(shí)使用個(gè)人移動(dòng)設(shè)備,而且有些公司已經(jīng)逐步將計(jì)算資源和應(yīng)用程序遷移至云計(jì)算中(有時(shí)是在IT安全人員不知情的情況下),IT安全經(jīng)理的力量和影響力正在逐步被削減。IT安全經(jīng)理必須主動(dòng)將合適的安全措施應(yīng)用到快速發(fā)展的技術(shù)上(有時(shí)這種決策還是由非IT部門作出)。這可能需要制定新的IT政策來(lái)規(guī)避風(fēng)險(xiǎn)因素,因此在這方面不能有任何錯(cuò)誤。
2.要與除CIO外的部門經(jīng)理保持良好工作關(guān)系
IT安全部門相對(duì)IT其他部門來(lái)說(shuō)通常較小。IT安全只是依賴于IT人員完成基本的安全工作。安全專業(yè)人士可能會(huì)擁有精通的專業(yè)知識(shí),擁有諸如CISSP等許多證書。但這并不代表他們能得到其他人的欣賞或喜歡。尤其安全人員經(jīng)常會(huì)因?yàn)槟承┌踩珕?wèn)題而對(duì)其他人的項(xiàng)目說(shuō)“不”。
而且,現(xiàn)在的企業(yè)中CIO并不總是IT項(xiàng)目的最高決策者:CIO作為IT項(xiàng)目指揮官的傳統(tǒng)角色正有著基本轉(zhuǎn)變,而首席財(cái)務(wù)官在IT項(xiàng)目上有著越來(lái)越多的最終發(fā)言權(quán)。一些證據(jù)表明CFO甚至不喜歡IT部門。CFO關(guān)于安全的見(jiàn)解可能只是像一般人的法律觀念——“遵從”。因此,安全專業(yè)人士在工作中必須是交流,交流,再交流。
3.虛擬化技術(shù)帶來(lái)安全新挑戰(zhàn)
公司正逐步實(shí)現(xiàn)對(duì)80%的服務(wù)器基礎(chǔ)結(jié)構(gòu)進(jìn)行虛擬化,而且桌面虛擬化項(xiàng)目也在日益增多。但是虛擬化相關(guān)的安全技術(shù)仍然滯后,許多人仍然錯(cuò)誤地認(rèn)為虛擬局域網(wǎng)已經(jīng)是虛擬化時(shí)代的結(jié)束。事實(shí)上,虛擬化架構(gòu)正在通過(guò)開(kāi)放所有可以利用的路徑改變一切。正如之前在IT行業(yè)已經(jīng)發(fā)生數(shù)次的:在人們并沒(méi)有足夠重視安全方面影響的情況下,突破性的技術(shù)也已可用。
一些傳統(tǒng)的安全產(chǎn)品,比如殺毒軟件,通常不能在虛擬機(jī)上良好地運(yùn)行。物理設(shè)備也可能會(huì)有一些盲點(diǎn)。現(xiàn)在,專用于虛擬環(huán)境的安全產(chǎn)品最終進(jìn)入市場(chǎng)——而安全專業(yè)人士也要弄清是否真正需要使用這些安全產(chǎn)品,同時(shí)還要跟上不斷變化的廠商安全計(jì)劃,比如VMware、微軟、思杰。而且在最終提升安全水平特別是在災(zāi)難恢復(fù)方面,虛擬化潛力巨大。
4.對(duì)未來(lái)可能的數(shù)據(jù)泄漏做足準(zhǔn)備
一旦敏感數(shù)據(jù)被盜竊或者被無(wú)意泄露,這將會(huì)成為一個(gè)噩夢(mèng)。除了技術(shù)檢測(cè)和技術(shù)修復(fù)以外,用戶必須遵守?cái)?shù)據(jù)泄漏的相關(guān)法規(guī)。但是究竟是哪一部法律呢?例如在美國(guó),幾乎每個(gè)州都有自己的數(shù)據(jù)泄密法,還有諸如高新技術(shù)法的聯(lián)邦法案,這些法律會(huì)影響某些其他行業(yè)(比如醫(yī)療行業(yè))。一旦數(shù)據(jù)泄漏,就會(huì)成為重大事件,而且調(diào)查所需的話費(fèi)極大。這要求IT安全經(jīng)理、IT部門法律部門人力資源部、公共事務(wù)部等部門要協(xié)同合作。公司應(yīng)該為最壞的情況做好準(zhǔn)備,并且在內(nèi)部進(jìn)行數(shù)據(jù)泄漏操練。
5.不應(yīng)滿足于現(xiàn)有的IT安全廠商
與IT及安全廠商結(jié)為親密的合作伙伴相當(dāng)必要。但是在任何廠商關(guān)系中都存在的風(fēng)險(xiǎn)是:用戶往往會(huì)忘記用批判的眼光看待產(chǎn)品及服務(wù)。許多廠商正力圖將傳統(tǒng)的安全控制手段去適應(yīng)新的虛擬化和云計(jì)算環(huán)境。在某種意義上,現(xiàn)在形勢(shì)有些混亂,因?yàn)镮T行業(yè)正經(jīng)歷一次徹底的變革。但是,那只是意味著用戶需要更加大力地推進(jìn)IT安全以使公司滿足其現(xiàn)有與將來(lái)的需求。
【編輯推薦】
