正解對安全從業者的十大常見誤讀
因為工作專業性強并且一貫保持低調,安全工作者往往被人們誤解。安全工作紕漏的越少人們的想象力越五花八門,因此,今天我們就來報一下安全工作的“料”,也借此為安全工作者們“正正名”,希望能讓人們因為了解而理解并支持他們的工作。
下面是對安全工作者的十種誤讀和正解:
誤解一:安全專業人士的晉升空間有限
事實:在過去,對于某些組織而言信息安全被視為高科技工作、專業化領域,而且通常屬于大型IT機構的組成部分。不過隨著當前業務開展與信息技術之間的聯系愈發緊密,企業已經開始理解到信息安全在關鍵性業務流程中所扮演的重要角色。
安全專業人士正在越來越多地與企業高層管理者進行互動,并成為企業獲得成功的重要推動者之一。如今高層管理隊伍中已經為安全工作保留了更多席位,相信安全專業人士能夠借此獲得更多晉升機遇,從而走的更遠。
誤解二:每一位從事安全工作的人員都是安全專家
事實:安全事務其實是個區劃明確、專業性很強的門類。IDS人員不知道如何在Web應用程序當中尋找安全漏洞,而軟件安全人員也不知道如何進行數字化取證。
誤解三:安全專業人士都是偏執狂,喜歡懷疑一切并且牢牢掌控著公共密鑰交換事務
事實:最近美國國家安全局曝出的監控丑聞確實證明,十幾年前以科幻式眼光作出的攻擊理論預測得到了應驗。盡管如此,統計數據與經濟學解讀仍然告訴我們,縱然是最為老練的攻擊者也很難撼動大多數人移動設備或者家用計算機的安全屏障。
誤解四:安全專家認為合規性意味著安全
事實:現實情況是,目前的合規性檢測還僅僅屬于一種驗證標準;如果大家的安全態度僅僅足以保證員工不至于怨聲載道,那么這樣的水準顯然還不能讓我們高枕無憂。這種誤區產生的原因之一在于,合規性往往成為CSO用來推進并獲取安全項目預算的主要手段。不過千萬別因此而誤會了安全管理者,他們只不過需要借著這個機會來完成工作、實際成效通常都會超越監管要求以滿足企業對安全的實際需求。
誤解五:安全與基礎設施/運營永遠無法和睦相處
事實:盡管在所謂的CIA(即保密性、完整性及可用性)當中,可用性往往被人們視為基礎設施/運營的根本性前提與推動力。然而對于真正互相了解彼此角色定位的部門來說,這三大支柱的作用必須全部得到承認與嚴格執行。
誤解六:信息安全屬于技術性極高的學科
事實:在通常情況下,這種指向性太過廣泛的總結都會有所偏頗或者產生遺漏。當然,在信息安全領域中確實存在對技術專長要求較高的特定角色。
不過隨著信息安全事務的角色逐步向風險管理轉化,我們需要更多了解業務部門需求而且能夠以業務語言與非專業人士順暢溝通的從業者加入進來。技術細節并不是全部內容,我們同樣需要解釋風險內容、并向管理者以及普通員工講解不同安全方案的對應執行流程及技術風險。
誤解七:黑客活動就像影視作品中表現的那樣
事實:人們應該會意識到影視作品中的一切內容都經過了夸張,但卻未必能體會到具體被夸張到了什么程度。讓我們先澄清幾點——首先,成功侵入目標設備時、其指示燈不會狂閃;其次,我們不可能一個一個字母破解他人的密碼內容。
當我們成功完成入侵之后,屏幕上絕對不可能以3D方式顯示出數據庫結構、或者讓我們像玩游戲那樣從一個模塊跳轉到另一個模塊。亂碼字符也絕不會在我們面前突然轉化為可直接閱讀的文本。雖然電影中偶爾也會出現一些真實存在的安全工具,但由于不夠花里胡哨而很難成為觀眾的關注焦點,因此往往登臺的時長也就一、兩秒鐘。
誤解八:安全專家認為安全價值高于實用性
事實:盡管以“安全”為職稱頭銜,但大多數CSO都明白只有適合作出權衡與讓步企業業務才有可能蓬勃發展。我們不可能強行要求員工生活在戰壕里,不可能用那些剛剛出現甚至之前聞所未聞的狀況當成實際威脅,更不可能僅僅以IT部門無法管理為由阻止某些方案的推廣。
這一誤區的出現主要是由于多年以來,CSO一直扮演著阻擋者角色甚至在很多人心目中成為一道不可逾越的鴻溝。不過這種情況在過去幾年中已經出現了顯著變化。盡管CSO們仍然不可能對所有新型機制大開綠燈,但IT消費化以及云計算等新興趨勢已經讓安全組織迎來了變化態勢,從而保持安全工作與業務之間的相關性。
誤解九:安全工作從來不忙也不煩
事實:沒有哪種工作能在八小時之內帶給員工100%的興奮點。大部分安全工作所涉及的都是操作安全產品,匯總并分析異常日志內容,編寫用于實現日常任務的自動化工具,而其中最糟糕的部分就是通過某些特定審計工作而不得不完成的任務或者項目。
誤解十:安全的全部內容就是防范攻擊活動
事實:對于大多數企業來說,信息安全團隊的任務應該是幫助整個企業管理風險,從而保證IT資產的保密性、完整性以及可用性。
當然,在信息安全團隊內部確實有專門負責預防類安全控制工作的資源存在。不過根據目前的威脅環境來看,企業需要將注意力集中在檢測方面,旨在保證任何成功回避了預防控制機制的攻擊活動都能被快速檢測到并得到控制。威脅環境極為活躍而且在不斷發展,企業絕不能單純將命運托付給預防這一個方面。
