遵從性:天使還是惡魔?
【51CTO.com 綜合消息】亞洲有越來越多的CIO在企業內部開展遵從性項目。如果實施的好,遵從性項目會讓IT主管成為保護企業數據和名譽的天使,然而不斷增加的遵從性要求往往擠占企業的IT預算而犧牲掉其他的安全措施,一旦陷入這樣的魔爪,企業的安全勢態最終會因缺乏基本要素而不再安全。
本文將剖析企業為達到遵從性要求而犧牲基本安全需求的危害,進而探討CIO制訂出前瞻性的信息安全戰略的四大步驟。
天使,還是惡魔?
不斷增加的遵從性要求和由此帶來的挑戰,讓亞洲IT主管們感到肩上的責任越來越重。他們中越來越多的人開始負責企業的遵從性項目,這令他們可能成為保護企業安全的天使,也可能變成制造企業安全災難的惡魔。
為支持遵從性項目,企業信息安全主管能夠獲得更多促進企業安全的有利資源,從而創造更大的價值。如果項目實施順利,信息安全主管便能利用遵從性項目打造更加具有前瞻性的安全項目,從而成為保護企業數據和名譽的天使。
然而在亞洲,CIO常常苦于不得不利用同樣的IT預算滿足不斷增加的遵從性要求。要在遵從性項目上增大預算意味著不得不在其他IT方面減少預算,或者減少用于信息安全的經費。因此,滿足遵從性的要求往往以犧牲其他安全措施或IT項目為代價。
盡管嚴格的遵從性要求會給企業帶來最佳實踐,但每個產業的規范都有局限性。不同產業規范有不同的產業側重或流程側重,并沒有考慮到確保企業整體安全的系統控制。例如PCI標準可以規范無線和雙重認證,但卻不能解決云計算問題;ISO 27002對業務持續性管理的規范十分詳盡,但卻極少涉及無線和雙重認證問題。
如果IT主管在企業安全策略上依賴遵從性要求,很可能陷入它的魔爪。企業的安全勢態最終會因缺乏基本要素而不再安全。全面的安全策略能夠滿足遵從性要求,但滿足遵從性要求的體系不一定帶來全面的安全環境。
在如今復雜的IT環境下,要實現完全徹底的保護幾乎是不可能的。但是設計一個全面的安全策略,同時精心挑選一個與企業基礎設施規模和復雜程度匹配的產品,仍可確保獲得具有前瞻性的安全戰略。
數據保護——企業的權杖
制定一個全面的安全戰略,第一步需要企業設計實施的“路線圖”。這個長遠計劃應當覆蓋企業基礎設施的不同層面和已知遵從性要求,并將不同層面和不同要求中涉及的技術投資做優先級別分析。一個企業的基礎設施包括不同層面:網絡、應用、數據、接入設備等。在這些層面中,數據是企業最重要的財富,建議優先考慮。同時,建立企業信息安全路線圖時也必須考慮到要保護交易、身份、數據和通信的安全。
第二步就是給通過網絡傳輸的信息進行加密。需要高性能廣域網的企業通常使用由當地互聯網服務供應商提供的虛擬專用網絡(VPN)。普遍認為這些“私有”的網絡具備更高的安全性,因為它不與他人分享。這些產品也伴隨著技術的控制和監視數據流量。但是,這種私密性只包括專用開關或虛電路連接,因而也未能保證數據的完整性和安全性。保證在專用廣域網上數據的完整性,最有效的解決辦法是高速網絡通信加密。它保護在公共和私有網絡上穿梭的敏感數據,同時滿足如PCI和HIPAA多個標準的要求。
對于存儲在服務器、工作站、個人電腦和其它移動媒體設備,如USB驅動器、記憶卡和光盤上的數據,磁盤加密技術是解決方案。這在便攜式裝置上顯得尤為重要,因為它被遺失或被盜的可能性較高。全磁盤加密技術也非常可靠,即使在黑客成功進入的情況下,復雜而精密的加密算法,也可以確保存儲數據的安全。
數據加密只是將充分保護信息生命周期的工作進行了一半,下面一步是保證身份和交易的安全性。敏感的公司數據,只有哪些被通過正確識別和確認的授權用戶才可以訪問。強認證技術,具有多因素的認證,在這一步凸顯出它的重要性。此外,能夠靈活地通過和撤銷授權的全面的身份系統管理,亦是訪問控制的主要因素。
最后一步,也是建設一個積極主動的安全戰略中最重要的一步,是對安全制度和政策進行審查管理。在此步驟中的一個例子是控制管理數據的完整性。數據加密和解密所使用的密鑰是數據安全解決方案的核心,如果它落入他人之手,整個安全基礎設施將癱瘓。因此,“密鑰管理器”是至關重要的。這個功能可以由硬件安全模塊(HSM)——旨在創造、存儲和保護敏感加密密鑰的設備——來實現。HSM還提供審計試驗,以支持跟蹤和報告。
除了設計一個全面的路線圖,充分的交流也是打造企業安全“天使軍”的關鍵。 IT主管應該與其他的高級業務管理人員密切合作,以確保他們了解這個路線圖中涉及的政策和技術,以及它將如何影響他們各自的業務和確保其運作的安全。這種不斷的溝通和業務管理人員的參與,將為IT管理人員在第一時間完成正確的路線圖提供所需要的信息。在一個IT組織中,交流也是必不可少的。與整個IT團隊分享未來信息管理保障的藍圖,將令他們感到被授權成為這個未來計劃中的的倡導者。對外方面,與提供和實施此項技術的供應商進行交流更重要。最簡單的方法是,找到具有足夠的知識與技術能夠幫助企業完成路線圖的供應商,然后將你們的需要完全委托給他們。
一旦路線圖體制化并建立了溝通渠道,IT主管們已經開始向著一個更加主動的安全戰略行進了。這是一個持續的過程。IT主管越早認識到,遵從僅僅是這一進程的開始,他們離成為該“企業的天使”就越近了一步。
