有關IT安全的五大變化
IT安全往往是個吃力不討好的任務,因此只有當IT安全無法保障的時候,別人才會注意到它。為了在虛擬化、智能手機、云計算時代也做好此工作,必須避免技術和政治錯誤。以下是IT安全經理應該注意的5點變化:
1. 公司業務形態已經發生變化
事實并非如此。現在大部分公司都會允許員工在上班時使用個人移動設備,而且有些公司已經逐步將計算資源和應用程序遷移至云計算中(有時是在IT安全人員不知情的情況下),IT安全經理的力量和影響力正在逐步被削減。IT安全經理必須主動將合適的安全措施應用到快速發展的技術上(有時這種決策還是由非IT部門作出)。這可能需要制定新的IT政策來規避風險因素,因此在這方面不能有任何錯誤。
2.要與除CIO外的部門經理保持良好工作關系
IT安全部門相對IT其他部門來說通常較小。IT安全只是依賴于IT人員完成基本的安全工作。安全專業人士可能會擁有精通的專業知識,擁有諸如CISSP等許多證書。但這并不代表他們能得到其他人的欣賞或喜歡。尤其安全人員經常會因為某些安全問題而對其他人的項目說“不”。
而且,現在的企業中CIO并不總是IT項目的最高決策者:CIO作為IT項目指揮官的傳統角色正有著基本轉變,而首席財務官在IT項目上有著越來越多的最終發言權。一些證據表明CFO甚至不喜歡IT部門。CFO關于安全的見解可能只是像一般人的法律觀念——“遵從”。因此,安全專業人士在工作中必須是交流,交流,再交流。
3.虛擬化技術帶來安全新挑戰
公司正逐步實現對80%的服務器基礎結構進行虛擬化,而且桌面虛擬化項目也在日益增多。但是虛擬化相關的安全技術仍然滯后,許多人仍然錯誤地認為虛擬局域網已經是虛擬化時代的結束。事實上,虛擬化架構正在通過開放所有可以利用的路徑改變一切。正如之前在IT行業已經發生數次的:在人們并沒有足夠重視安全方面影響的情況下,突破性的技術也已可用。
一些傳統的安全產品,比如殺毒軟件,通常不能在虛擬機上良好地運行。物理設備也可能會有一些盲點。現在,專用于虛擬環境的安全產品最終進入市場——而安全專業人士也要弄清是否真正需要使用這些安全產品,同時還要跟上不斷變化的廠商安全計劃,比如VMware、微軟、思杰。而且在最終提升安全水平特別是在災難恢復方面,虛擬化潛力巨大。
4.對未來可能的數據泄漏做足準備
一旦敏感數據被盜竊或者被無意泄露,這將會成為一個噩夢。除了技術檢測和技術修復以外,用戶必須遵守數據泄漏的相關法規。但是究竟是哪一部法律呢?例如在美國,幾乎每個州都有自己的數據泄密法,還有諸如高新技術法的聯邦法案,這些法律會影響某些其他行業(比如醫療行業)。一旦數據泄漏,就會成為重大事件,而且調查所需的話費極大。這要求IT安全經理、IT部門法律部門人力資源部、公共事務部等部門要協同合作。公司應該為最壞的情況做好準備,并且在內部進行數據泄漏操練。
5.不應滿足于現有的IT安全廠商
與IT及安全廠商結為親密的合作伙伴相當必要。但是在任何廠商關系中都存在的風險是:用戶往往會忘記用批判的眼光看待產品及服務。許多廠商正力圖將傳統的安全控制手段去適應新的虛擬化和云計算環境。在某種意義上,現在形勢有些混亂,因為IT行業正經歷一次徹底的變革。但是,那只是意味著用戶需要更加大力地推進IT安全以使公司滿足其現有與將來的需求。
【編輯推薦】
