McAfee最近的一份調(diào)查報(bào)告顯示，相當(dāng)多的企業(yè)高層領(lǐng)導(dǎo)不熟悉自己企業(yè)的信息安全策略。專家表示，企業(yè)尤其是安全產(chǎn)品廠商，應(yīng)該擁有一名專門管理風(fēng)險(xiǎn)問(wèn)題的執(zhí)行官，但是用戶所關(guān)注的不應(yīng)該是一個(gè)官銜，而是廠商的產(chǎn)品經(jīng)驗(yàn)和安全防護(hù)技術(shù)。

首席安全官(CSO)是企業(yè)中專門負(fù)責(zé)管理風(fēng)險(xiǎn)問(wèn)題的最高級(jí)別職務(wù)，不僅僅是大型企業(yè)，包括各種看重安全問(wèn)題的企業(yè)，CSO都是一個(gè)關(guān)鍵性的角色。但是，終端用戶不應(yīng)該只看企業(yè)是否有這個(gè)職位，而是要看企業(yè)的專業(yè)程度以及與信息安全風(fēng)險(xiǎn)斗爭(zhēng)的經(jīng)驗(yàn)。

RobertWalters咨詢公司的IT商貿(mào)部門咨詢顧問(wèn)NarenGanjoo表示，隨著企業(yè)向虛擬化和云計(jì)算遷移，信息系統(tǒng)的安全性成了越來(lái)越重要的問(wèn)題。

Ganjoo表示：“所有的企業(yè)現(xiàn)在都有一個(gè)專門的安全人員，負(fù)責(zé)管理內(nèi)部的安全策略，進(jìn)行日常的IT安全審核，以及設(shè)置新的安全策略等工作。”

Ovum的首席分析師GrahamTitterington也表示，根據(jù)調(diào)查，企業(yè)的CSO和CISO(首席信息和安全官)的數(shù)量呈現(xiàn)“小幅增長(zhǎng)”趨勢(shì)。他認(rèn)為，大型企業(yè)，尤其是與信息技術(shù)相關(guān)的企業(yè)，如果不設(shè)置此類職務(wù)將無(wú)法正常運(yùn)轉(zhuǎn)。

他解釋說(shuō)：“在大型企業(yè)中，企業(yè)的工作任務(wù)需要安全專家主持，并且此類工作都需要足夠豐富的安全經(jīng)驗(yàn)。因此最好有人專門負(fù)責(zé)此類工作。而小型企業(yè)可以考慮將CIO或其它職位與CSO的職責(zé)合并。如果一個(gè)企業(yè)對(duì)安全性的要求很高，比如安全產(chǎn)品廠商或者銀行等，是必須配備CSO這個(gè)職位的，但是其它企業(yè)在這個(gè)問(wèn)題上，我認(rèn)為可以靈活對(duì)待。”

但是Titterington也告誡人們不要過(guò)于關(guān)注于CSO這個(gè)頭銜或角色，因?yàn)橹攸c(diǎn)不在于此，而是在于“企業(yè)能夠?qū)崿F(xiàn)很好的信息安全”。

如果企業(yè)沒(méi)有預(yù)算用來(lái)支持一個(gè)獨(dú)立的CSO，他們可以考慮向服務(wù)供應(yīng)商或咨詢顧問(wèn)尋求幫助。

Gartner調(diào)研經(jīng)理LawrencePingree也有類似的觀點(diǎn)。他表示：“如果企業(yè)的財(cái)力無(wú)法支持內(nèi)部長(zhǎng)期聘用的CSO或CISO，可以考慮請(qǐng)咨詢公司幫助解決安全管理問(wèn)題或雇傭一個(gè)有一定經(jīng)驗(yàn)的安全工程師或架構(gòu)師，逐步幫助企業(yè)搭建起一套成熟的安全體系”。

Gartner有一套ITScore模型，可以幫助企業(yè)檢查安全系統(tǒng)的成熟度和它的效率。

安全軟件廠商的現(xiàn)狀

經(jīng)過(guò)采訪，Gartner的Pingree表示，美國(guó)市場(chǎng)前五大安全軟件廠商都配備有專門的安全管理人員。具Gartner分析，這些管理人員的職位并不屬于經(jīng)理，也沒(méi)有列在公司官方網(wǎng)站所介紹的管理團(tuán)隊(duì)中。

在對(duì)Symantec,McAfee,TrendMicro,IBM以及CATechnologies這五家公司的Web網(wǎng)站進(jìn)行瀏覽后，我們會(huì)發(fā)現(xiàn)所有公司的管理團(tuán)隊(duì)介紹中都沒(méi)有CSO或CISO這樣的職級(jí)。不過(guò)McAfee曾在10月18號(hào)登出一則位于SantaClara的CSO職位信息。按照Z(yǔ)DNet的理解這是一種職位更換。

而TrendMicro和CA都表示，他們的CIO的職責(zé)中包含了保護(hù)企業(yè)信息資產(chǎn)安全，實(shí)施安全策略等工作。IBM則是由專門負(fù)責(zé)IT風(fēng)險(xiǎn)的副總裁KrisLovejoy承擔(dān)此類工作。

在解釋公司為何缺少專門的CSO或CISO這個(gè)問(wèn)題時(shí)，TrendMicro的CIOMaxCheng解釋說(shuō)：“作為一個(gè)IT安全產(chǎn)品廠商，TrendMicro理解IT安全的重要性，而CIO有能力承擔(dān)此類職責(zé)，而且我們還有一個(gè)專門的團(tuán)隊(duì)[信息安全團(tuán)隊(duì)]來(lái)負(fù)責(zé)IT安全。我們不認(rèn)為單獨(dú)設(shè)置一個(gè)這樣的頭銜會(huì)對(duì)TrendMicro的IT安全防御水平有什么促進(jìn)作用。”

Cheng每天花費(fèi)三成的時(shí)間用于解決IT安全問(wèn)題，他認(rèn)為如果從“安撫客戶”的角度看，為管理信息安全設(shè)置一個(gè)專門的職位是有一定幫助的，尤其是在目前這種安全環(huán)境下。

香港JockeyClub公司CIOSunnyLee在接受郵件采訪時(shí)表示，他并沒(méi)有特別關(guān)注安全軟件廠商是否有專門的CSO這個(gè)職位，他認(rèn)為此類公司應(yīng)該將信息安全付諸實(shí)際。他說(shuō)：“此類公司應(yīng)該將信息安全作為公司的首要任務(wù)。他們應(yīng)該成為信息安全方面的榜樣。”他認(rèn)為，關(guān)鍵在于如何減輕安全風(fēng)險(xiǎn)，而是不是有沒(méi)有某個(gè)職位。他說(shuō)：“如果安全軟件廠商沒(méi)有管理好自己企業(yè)的信息安全，不但會(huì)將他們的公司推向風(fēng)險(xiǎn)，更會(huì)將他們的客戶推向風(fēng)險(xiǎn)。”

讓高層領(lǐng)導(dǎo)更懂信息安全

McAfee聯(lián)合GabrielConsultingGroup近日發(fā)布了一份針對(duì)147個(gè)公司的數(shù)據(jù)中心的相關(guān)問(wèn)題的調(diào)查報(bào)告。調(diào)查揭示出很多有趣的數(shù)據(jù)，其中目前被關(guān)注最多的就是：被調(diào)查的IT專家中，六成人表示對(duì)他們的領(lǐng)導(dǎo)對(duì)所管轄的部門的安全問(wèn)題并不是很清楚。很明顯，領(lǐng)導(dǎo)們覺(jué)得他們的安全系統(tǒng)都及時(shí)更新了，但事實(shí)并非如此。實(shí)際上，接受調(diào)查的人群中40%認(rèn)為他們的企業(yè)安全措施無(wú)法跟上當(dāng)前網(wǎng)絡(luò)威脅的趨勢(shì)。

該研究報(bào)告還揭示出一些問(wèn)題。比如，很多企業(yè)所使用的安全產(chǎn)品來(lái)自七個(gè)或更多的來(lái)源。但是大多數(shù)人都覺(jué)得降低安全產(chǎn)品的數(shù)量也不會(huì)有什么影響。而對(duì)于那些曾經(jīng)遭到過(guò)安全攻擊的企業(yè)來(lái)說(shuō)，大約70%的企業(yè)表示攻擊來(lái)自外部，但是來(lái)自內(nèi)部的安全攻擊造成的損失更大。對(duì)于攻擊帶來(lái)的影響問(wèn)題，大部分企業(yè)表示直接影響是合規(guī)和法律方面的額外費(fèi)用，其次是導(dǎo)致生產(chǎn)力下降。大部分企業(yè)都有獨(dú)立的IT安全管理人員或部門，并且有對(duì)應(yīng)的安全策略，但是大多數(shù)時(shí)候這種安全策略落實(shí)的并不徹底。

最后，該調(diào)查報(bào)告還顯示了有關(guān)云服務(wù)采用率的情況。在被調(diào)查企業(yè)中，將近80%的企業(yè)表示安全問(wèn)題仍然是他們?cè)谶x擇公共云服務(wù)時(shí)考慮的最大問(wèn)題。但是，大部分企業(yè)更喜歡采用私有云。60%的企業(yè)認(rèn)為如果采用私有云，安全問(wèn)題就不是首要擔(dān)心的問(wèn)題了。而對(duì)于企業(yè)是否采用了私有云或公共云這個(gè)問(wèn)題上，IT員工中有一半的人表示不知情，另一半則表示知道。

McAfee發(fā)布這份調(diào)查報(bào)告是毫不稀奇的，因?yàn)檫@正是他們的工作內(nèi)容。但是，很多IT人可能還是不習(xí)慣看到自己的好建議會(huì)因?yàn)槌杀净蛴脩舻脑蚨簧蠈宇I(lǐng)導(dǎo)否決。也不習(xí)慣頻繁的幫記性不好的領(lǐng)導(dǎo)重置密碼，而領(lǐng)導(dǎo)還可能會(huì)直接把密碼寫在顯示器旁邊的紙條上。有幾個(gè)領(lǐng)導(dǎo)能夠搞清楚一個(gè)DrupalWeb站點(diǎn)的全部安全防護(hù)程序，或者面向外網(wǎng)的VPN服務(wù)器上的安全設(shè)置，或者公司內(nèi)部無(wú)線接入點(diǎn)的安全設(shè)置?毫無(wú)疑問(wèn)，在商人眼里，利潤(rùn)與安全策略關(guān)系不大。

安全策略集中化

McAfee的報(bào)告中并沒(méi)有給出什么實(shí)際的解決方案，但是安全常識(shí)的灌輸并不會(huì)花費(fèi)多少錢，而且容易實(shí)現(xiàn)。在報(bào)告中提到的一種解決方案就是安全策略的集中化管理。這是企業(yè)安全里至關(guān)重要的第一步，任何企業(yè)都要確保在涉及到IT安全問(wèn)題時(shí)，必須使用一個(gè)獨(dú)立的稱職的團(tuán)隊(duì)。企業(yè)內(nèi)部的安全漏洞通常都是由于操作失誤造成的，比如系統(tǒng)維護(hù)人員的臨時(shí)管理權(quán)限過(guò)大，甚至可以為Exchange服務(wù)器添加對(duì)外開放的端口。或者密碼策略過(guò)于簡(jiǎn)單，只是部門間的電腦密碼不同，而同一部門中所有電腦的登陸密碼都是一樣的，并且再也不會(huì)修改。

定期交流安全內(nèi)容

另一個(gè)重要的元素，或者說(shuō)可以幫助解決管理層缺乏安全認(rèn)知問(wèn)題的方法，就是交流。如果只是在飲水機(jī)邊花三分鐘解釋新的安全策略并請(qǐng)求領(lǐng)導(dǎo)批準(zhǔn)，一般是不會(huì)成功的。有些IT人員總是能夠成功的讓高層批準(zhǔn)自己的安全方案，是因?yàn)樗且粋€(gè)很好的寫手，每周都會(huì)給領(lǐng)導(dǎo)寫郵件詳細(xì)匯報(bào)安全工作內(nèi)容，就算這個(gè)工作是在周末假日里完成的也不會(huì)有怨言。比如新的軟硬件系統(tǒng)需求，改變安全策略，主要的潛在風(fēng)險(xiǎn)，以及簡(jiǎn)短的建議列表，這些都是由IT安全維護(hù)團(tuán)隊(duì)全體共同協(xié)商并通過(guò)的內(nèi)容，而不是某個(gè)IT安全主管自己想出來(lái)的。在這種郵件里，可以同時(shí)提供兩套備選方案，一套是標(biāo)準(zhǔn)廠商提供的商業(yè)產(chǎn)品，另一套可以是花費(fèi)更低廉的開源產(chǎn)品。

考慮云服務(wù)

最后給出的建議是，云服務(wù)如果采用得當(dāng)，可以有效的幫助企業(yè)彌補(bǔ)安全漏洞。對(duì)于很多小型或中型企業(yè)來(lái)說(shuō)，使用如Amazon,Microsoft360,或GoogleApps這樣的公共云服務(wù)，所能享受到的數(shù)據(jù)中心的安全措施，要比企業(yè)自己的數(shù)據(jù)中心所采用的安全措施完善的多。企業(yè)所要做的就是管理信息。比如Google會(huì)定期性的發(fā)布有關(guān)云計(jì)算的稿件，幫助企業(yè)更好的使用云服務(wù)。

當(dāng)然，作為IT人員你能做的也就是這些了。企業(yè)領(lǐng)導(dǎo)必須愿意聽取你的意見，并在該花錢的時(shí)候愿意花錢。企業(yè)員工也要做好自己分內(nèi)的事兒，比如避免設(shè)置過(guò)于簡(jiǎn)單的登錄密碼或?qū)⒌卿浢艽a寫在顯示器上，或者不退出登錄就離開辦公室。其實(shí)在降低企業(yè)IT風(fēng)險(xiǎn)的問(wèn)題上，可做的事情還有很多，但都需要通過(guò)對(duì)員工進(jìn)行安全培訓(xùn)，以及與領(lǐng)導(dǎo)層溝通安全問(wèn)題的方式作為開始。
 

【編輯推薦】

1. 你的安全策略能夠應(yīng)對(duì)網(wǎng)絡(luò)化設(shè)備管理嗎？
2. 密碼安全策略：找到人與密碼之間的平衡
3. CSO需要警惕五大IT安全認(rèn)知錯(cuò)誤
4. 網(wǎng)絡(luò)安全的靈魂之安全策略