2008企业安全:安全管理之难题

日期: 2008-03-05 作者:Mike Rothman翻译:周姝嫣 来源:TechTarget中国 英文

本文对安全经理在2008年中面对企业安全管理方面期待什么提供一些看法。   在预测未来之前,我们先花点时间来回顾一下去年的情况。2007年的安全管理全都与“法规遵从”有关,尤其是PCI-DSS(信用卡行业数据安全标准)。但是考虑到几乎所有的美国公司都在某种方式上接收信用卡,所以,PCI的法规遵从也就具有一定意义。

  不过令人不安的事实却令人伤心,法规遵从依然是大部分安全运作的主要引擎。就像我兄弟说的,“这是不好的”或者说那样并不好。我们作为安全专家还在努力向组织的其他成员展示价值。阻止违约能够增加价值,这一点没有争议,但是增加多少价值呢?是与投资在安全领域的金钱数目同步吗?这是一些需要回答的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

本文对安全经理在2008年中面对企业安全管理方面期待什么提供一些看法。

  在预测未来之前,我们先花点时间来回顾一下去年的情况。2007年的安全管理全都与“法规遵从”有关,尤其是PCI-DSS(信用卡行业数据安全标准)。但是考虑到几乎所有的美国公司都在某种方式上接收信用卡,所以,PCI的法规遵从也就具有一定意义。

  不过令人不安的事实却令人伤心,法规遵从依然是大部分安全运作的主要引擎。就像我兄弟说的,“这是不好的”或者说那样并不好。我们作为安全专家还在努力向组织的其他成员展示价值。阻止违约能够增加价值,这一点没有争议,但是增加多少价值呢?是与投资在安全领域的金钱数目同步吗?这是一些需要回答的重要问题。

  我们认为2008年,安全专家的第一商业目标应该是实施结构化的安全程序,该程序的重点是保护最重要的商业信息,设定目标、作出承诺以确保账户安全,以及明确如何及为何要实施一定的安全控制。最终目标是要明确地向企业的操作部门展现安全的价值和重要性。

  很不幸,供应商不会在简化安全专家的生活方面提供帮助。那就对了,先不要收起你的工具摊或者布基胶带;2008年出现更多的集成工具,尝试着理解正在发生的一切。安全信息和事件管理(SIEM)依然会很失望,因为该领域的大部分供应商会在2008年对他们的产品进行移植,使其看起来更像日志管理产品。

  许多组织会围绕着SaaS,试图弄清楚哪些安全管理任务可以由其他人来完成,而且效率更高。这是件好事,因为内部安全团队并不会做一些事来权衡利益,比如调整垃圾邮件网关、监测IPS日志。但是关键在于创建综合的、明显的工作流,为内部资源对所发生的事提供“主人”观念,为成本最低的供应商有效提供操作策略。

  2008年,法规遵从不会在消失。我当然希望安全专家能够关注安全,尽管有违法规遵从,但最终还是需要遵循各种法规,促进IT花费,因而是一项很重要的资金来源,信息安全界需要在来年完成并实现这个来源。

  最终,安全专家很有可能服从为审计员而设的规则,这将为提供所谓的GRC产品的供应商创造机会——意在使遵从过程自动化的先进报告和工作流软件包。这些产品都申称能使数据自动集合、自动报告,这样管理人员就不必花几天(或几星期)准备审计。很明显,安全专家还有一个问题,他们需要使其效率比准备审计工作的效率更高。这使得我认为我们需要开发另外一项点式产品来解决这个问题,但是产品终究是产品。

  也许明年假期,我就会要求一个标准的报告界面,这样我就能把安全数据插入组织的商业智能软件,获得一些真实有用的数据,但2008年不会发生这些情况,所以我们将会尽力拼凑,以最有效的方式实现法规遵从。

  最后,专业安全人员需要注意一个大的趋势:“帝国”不可避免地会消亡。安全资源会纳入其它IT运作团队。网络安全人员将转至网络团队。数据库安全呢?是的,继续留在DBA小组,从属于数据中心团队。

  对首席安全官员(CSO)而言,拥有一个“帝国”的想法简直是个噩梦,但是目前的安全工作都是劝导式的工作。成功人士是那些在安全项目中成为领头羊的人。他们需要明白哪些需要得到保护、哪些应该得到保护。然后就是艰难的说服工作,他们要说服同事投资合适的时间、资源、金钱,以提供保护。

  2008年的安全管理员更像是一个拉拉队队员。他/她需要不断加强安全意识的训练,而且需要通过范例加以引导,别无他法。

作者

Mike Rothman
Mike Rothman

Mike Rothman是一家独立信息安全研究公司的总经理和首席分析师。最为一位终端用户,他已经连续15年的时间提倡世界企业和中等规模的商业,他的工作是发起引人深思的关于如何确保核心商业需求的信息安全方面的讨论。在建立Security Incite 之前,Mike是META Group的首位网络安全分析师,并曾在TruSecure的CipherTrust共司担任主管职位,而且他还是SHYM科技工色的创始人之一。Mike经常为TechTarget撰稿,是一位受人尊重的信息安全专家。

相关推荐