企業信息安全該由誰主導?
McAfee最近的一份調查報告顯示,相當多的企業高層領導不熟悉自己企業的信息安全策略。專家表示,企業尤其是安全產品廠商,應該擁有一名專門管理風險問題的執行官,但是用戶所關注的不應該是一個官銜,而是廠商的產品經驗和安全防護技術。
首席安全官(CSO)是企業中專門負責管理風險問題的最高級別職務,不僅僅是大型企業,包括各種看重安全問題的企業,CSO都是一個關鍵性的角色。但是,終端用戶不應該只看企業是否有這個職位,而是要看企業的專業程度以及與信息安全風險斗爭的經驗。
RobertWalters咨詢公司的IT商貿部門咨詢顧問NarenGanjoo表示,隨著企業向虛擬化和云計算遷移,信息系統的安全性成了越來越重要的問題。
Ganjoo表示:“所有的企業現在都有一個專門的安全人員,負責管理內部的安全策略,進行日常的IT安全審核,以及設置新的安全策略等工作。”
Ovum的首席分析師GrahamTitterington也表示,根據調查,企業的CSO和CISO(首席信息和安全官)的數量呈現“小幅增長”趨勢。他認為,大型企業,尤其是與信息技術相關的企業,如果不設置此類職務將無法正常運轉。
他解釋說:“在大型企業中,企業的工作任務需要安全專家主持,并且此類工作都需要足夠豐富的安全經驗。因此最好有人專門負責此類工作。而小型企業可以考慮將CIO或其它職位與CSO的職責合并。如果一個企業對安全性的要求很高,比如安全產品廠商或者銀行等,是必須配備CSO這個職位的,但是其它企業在這個問題上,我認為可以靈活對待。”
但是Titterington也告誡人們不要過于關注于CSO這個頭銜或角色,因為重點不在于此,而是在于“企業能夠實現很好的信息安全”。
如果企業沒有預算用來支持一個獨立的CSO,他們可以考慮向服務供應商或咨詢顧問尋求幫助。
Gartner調研經理LawrencePingree也有類似的觀點。他表示:“如果企業的財力無法支持內部長期聘用的CSO或CISO,可以考慮請咨詢公司幫助解決安全管理問題或雇傭一個有一定經驗的安全工程師或架構師,逐步幫助企業搭建起一套成熟的安全體系”。
Gartner有一套ITScore模型,可以幫助企業檢查安全系統的成熟度和它的效率。
安全軟件廠商的現狀
經過采訪,Gartner的Pingree表示,美國市場前五大安全軟件廠商都配備有專門的安全管理人員。具Gartner分析,這些管理人員的職位并不屬于經理,也沒有列在公司官方網站所介紹的管理團隊中。
在對Symantec,McAfee,TrendMicro,IBM以及CATechnologies這五家公司的Web網站進行瀏覽后,我們會發現所有公司的管理團隊介紹中都沒有CSO或CISO這樣的職級。不過McAfee曾在10月18號登出一則位于SantaClara的CSO職位信息。按照ZDNet的理解這是一種職位更換。
而TrendMicro和CA都表示,他們的CIO的職責中包含了保護企業信息資產安全,實施安全策略等工作。IBM則是由專門負責IT風險的副總裁KrisLovejoy承擔此類工作。
在解釋公司為何缺少專門的CSO或CISO這個問題時,TrendMicro的CIOMaxCheng解釋說:“作為一個IT安全產品廠商,TrendMicro理解IT安全的重要性,而CIO有能力承擔此類職責,而且我們還有一個專門的團隊[信息安全團隊]來負責IT安全。我們不認為單獨設置一個這樣的頭銜會對TrendMicro的IT安全防御水平有什么促進作用。”
Cheng每天花費三成的時間用于解決IT安全問題,他認為如果從“安撫客戶”的角度看,為管理信息安全設置一個專門的職位是有一定幫助的,尤其是在目前這種安全環境下。
香港JockeyClub公司CIOSunnyLee在接受郵件采訪時表示,他并沒有特別關注安全軟件廠商是否有專門的CSO這個職位,他認為此類公司應該將信息安全付諸實際。他說:“此類公司應該將信息安全作為公司的首要任務。他們應該成為信息安全方面的榜樣。”他認為,關鍵在于如何減輕安全風險,而是不是有沒有某個職位。他說:“如果安全軟件廠商沒有管理好自己企業的信息安全,不但會將他們的公司推向風險,更會將他們的客戶推向風險。”
讓高層領導更懂信息安全
McAfee聯合GabrielConsultingGroup近日發布了一份針對147個公司的數據中心的相關問題的調查報告。調查揭示出很多有趣的數據,其中目前被關注最多的就是:被調查的IT專家中,六成人表示對他們的領導對所管轄的部門的安全問題并不是很清楚。很明顯,領導們覺得他們的安全系統都及時更新了,但事實并非如此。實際上,接受調查的人群中40%認為他們的企業安全措施無法跟上當前網絡威脅的趨勢。
該研究報告還揭示出一些問題。比如,很多企業所使用的安全產品來自七個或更多的來源。但是大多數人都覺得降低安全產品的數量也不會有什么影響。而對于那些曾經遭到過安全攻擊的企業來說,大約70%的企業表示攻擊來自外部,但是來自內部的安全攻擊造成的損失更大。對于攻擊帶來的影響問題,大部分企業表示直接影響是合規和法律方面的額外費用,其次是導致生產力下降。大部分企業都有獨立的IT安全管理人員或部門,并且有對應的安全策略,但是大多數時候這種安全策略落實的并不徹底。
最后,該調查報告還顯示了有關云服務采用率的情況。在被調查企業中,將近80%的企業表示安全問題仍然是他們在選擇公共云服務時考慮的最大問題。但是,大部分企業更喜歡采用私有云。60%的企業認為如果采用私有云,安全問題就不是首要擔心的問題了。而對于企業是否采用了私有云或公共云這個問題上,IT員工中有一半的人表示不知情,另一半則表示知道。
McAfee發布這份調查報告是毫不稀奇的,因為這正是他們的工作內容。但是,很多IT人可能還是不習慣看到自己的好建議會因為成本或用戶的原因而被上層領導否決。也不習慣頻繁的幫記性不好的領導重置密碼,而領導還可能會直接把密碼寫在顯示器旁邊的紙條上。有幾個領導能夠搞清楚一個DrupalWeb站點的全部安全防護程序,或者面向外網的VPN服務器上的安全設置,或者公司內部無線接入點的安全設置?毫無疑問,在商人眼里,利潤與安全策略關系不大。
安全策略集中化
McAfee的報告中并沒有給出什么實際的解決方案,但是安全常識的灌輸并不會花費多少錢,而且容易實現。在報告中提到的一種解決方案就是安全策略的集中化管理。這是企業安全里至關重要的第一步,任何企業都要確保在涉及到IT安全問題時,必須使用一個獨立的稱職的團隊。企業內部的安全漏洞通常都是由于操作失誤造成的,比如系統維護人員的臨時管理權限過大,甚至可以為Exchange服務器添加對外開放的端口。或者密碼策略過于簡單,只是部門間的電腦密碼不同,而同一部門中所有電腦的登陸密碼都是一樣的,并且再也不會修改。
定期交流安全內容
另一個重要的元素,或者說可以幫助解決管理層缺乏安全認知問題的方法,就是交流。如果只是在飲水機邊花三分鐘解釋新的安全策略并請求領導批準,一般是不會成功的。有些IT人員總是能夠成功的讓高層批準自己的安全方案,是因為他是一個很好的寫手,每周都會給領導寫郵件詳細匯報安全工作內容,就算這個工作是在周末假日里完成的也不會有怨言。比如新的軟硬件系統需求,改變安全策略,主要的潛在風險,以及簡短的建議列表,這些都是由IT安全維護團隊全體共同協商并通過的內容,而不是某個IT安全主管自己想出來的。在這種郵件里,可以同時提供兩套備選方案,一套是標準廠商提供的商業產品,另一套可以是花費更低廉的開源產品。
考慮云服務
最后給出的建議是,云服務如果采用得當,可以有效的幫助企業彌補安全漏洞。對于很多小型或中型企業來說,使用如Amazon,Microsoft360,或GoogleApps這樣的公共云服務,所能享受到的數據中心的安全措施,要比企業自己的數據中心所采用的安全措施完善的多。企業所要做的就是管理信息。比如Google會定期性的發布有關云計算的稿件,幫助企業更好的使用云服務。
當然,作為IT人員你能做的也就是這些了。企業領導必須愿意聽取你的意見,并在該花錢的時候愿意花錢。企業員工也要做好自己分內的事兒,比如避免設置過于簡單的登錄密碼或將登錄密碼寫在顯示器上,或者不退出登錄就離開辦公室。其實在降低企業IT風險的問題上,可做的事情還有很多,但都需要通過對員工進行安全培訓,以及與領導層溝通安全問題的方式作為開始。
【編輯推薦】
