前CISO:数据加密将成为越来越简单的选择

日期: 2008-09-17 作者:Robert Westervelt翻译:Tina Guo 来源:TechTarget中国 英文

Steven Katz是IT安全咨询公司Security Risk Solutions的创始人兼总裁。他被广泛的认为是第一位CISO。他有30年的安全行业的工作经验,曾在JP Morgan、Citigroup和Merrill Lynch管理信息安全。(1995年,在Citigroup,他被称为CISO。)目前,他是多家厂商的顾问团成员,包括数据加密厂商Voltage Security, Inc.。在Voltage Security, Inc.,他极力倡导数据加密技术。他还是Roundtable Network的首席顾问和圆桌仲裁员。Roundtable Network是为CISO、CRO、CIO和IT行政人员提供的交换信息安全、风险管理、治理和隐私方面的意见的论坛。


  为什么现在有这么多的数据泄露?你有什么看法?


Steven Katz

  Steven Katz:我们必须承认两个公理。我正对我的一个朋友解释主要金融机构的问题:数据应该免费并共享。这是数据的属性。第二个是网络一定会受到攻击。这两种方式的结合使我们不得不关注数据,保护信息,不管信息在哪里、存储在哪里以及它是否在传输等状况。数据最终会被人看到,那些人是你不想要他们看到的,答案是数据应该受到保护,无论它在哪里。有效保护数据的唯一方法是执行和制定良好的数据加密项目。


  我们过去所关注的是当我们对一个数据串加密后,我们得到的是更长的数据串。如果你查看一个数据库,你就会丢失所有的参照完整性以及你提出来的校验总和。所以问题依然存在,至少有一个公司或者更多公司存在所谓的格式保护加密。在这里信用卡号码、个人认证号码和个人保健信息就可以被加密。而且你可以维护数据域的规模,维护校验总和并保持整个数据库的参照完整性。


  在很多情况下,是不是说起来要比实施简单得多?配置加密的难度有多大?


  Katz:它并没有看起来的那么难。密码术有很长的历史。有很多技术良好的公司使加密变得没那么困难。配置任何设备都很困难,但是现实是你必须和你的客户群之间存在可信赖的关系。当我在Citi的时候,我们有一个信息安全意识项目。我们说Citi有两个产品:资金和信任。如果你没有卖掉信任,你在资金的出售方面就存在困难。我使用互联网的任何时候,我都相信他们可以为我的信息保密。


  但是很多公司的数据都没有很好的解决办法。他们不知道数据存在在哪里,特别是有多个复杂系统的大型公司。我认为你可以发现大部分关键数据存储和开始的位置,如果你加密50%的问题,你就可以提前50%。我认为我们从来没有100%加密过,但是我们可以越来越接近。这是个很复杂的问题。


  如果公司配置加密,成本会生效吗?


  Katz:我的理解是成本开始明显下降了。很多人都开始使用。有很多厂商都在这个行业竞争,而对于竞争来说,没有什么比得上成本。目前格式保护加密已经成为现实中可以实施的方面,而这个比较容易介绍。最糟的是把15个字符的信用卡号码转变为150或者180个字符的加密号码。这样不起作用,但是如果你可以提前一步,把15个字符的信用卡号码转变为15个字符的加密信用卡号码……我看不到有任何不这么做的原因。


  作为一位CISO,您有着深厚的背景。这个角色以后有什么变化,您是怎么看的?


  Katz:1995年,在Citigroup,我成为了这个行业的第一位CISO。这真的是这个时候的一场革命。我们想要把信息安全作为一性商业风险管理问题。我大量的时间都是和高级商业行政人员、Citigroup的运营人员一起工作,以及和运营风险管理委员会一起工作。风险管理委员会是董事会下的一个分会。现在我们看到了很多这种情况。越来越多的人开始做首席风险主管或者首席信息风险主管。这些职位的人员会把商业放在第一位,技术放在第二位。有一种理解是商业是冒着风险在增长,并认识到你所做的一切事情都存在平衡。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐