我印象最深的一句话是“如果不到最后一分钟,人们就不会采取任何行动。”这句话体现了我个人的做事方式;而在我的行业中,它却是一个不成文的规律,企业应付很多年度活动时也采取这样的做法。每年从第四季度初期开始,当银行和信用社猛然意识到自己原来承诺要做的审计和评估工作在此时必须完结的时候,企业的工作量会有一个显著的增加。除此之外,监察员一般也不关心工作的时间安排,他们只关心在规定的时间内工作是否完成了,这种工作方式令人感到十分奇怪。
这引出了另外一个有趣的问题,关于监察员怎样操作的问题。一般说来,如果有现成的报告,他们不会发现多少(如果有的话)报告以外的东西。所以许多对信息安全和IT部分的检查关注更……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
我印象最深的一句话是“如果不到最后一分钟,人们就不会采取任何行动。”这句话体现了我个人的做事方式;而在我的行业中,它却是一个不成文的规律,企业应付很多年度活动时也采取这样的做法。每年从第四季度初期开始,当银行和信用社猛然意识到自己原来承诺要做的审计和评估工作在此时必须完结的时候,企业的工作量会有一个显著的增加。除此之外,监察员一般也不关心工作的时间安排,他们只关心在规定的时间内工作是否完成了,这种工作方式令人感到十分奇怪。
这引出了另外一个有趣的问题,关于监察员怎样操作的问题。一般说来,如果有现成的报告,他们不会发现多少(如果有的话)报告以外的东西。所以许多对信息安全和IT部分的检查关注更多的是近期的报告,除此之外没有什么其他的内容。我们总是会发现这方面的证据,当我们进行第一年审计或者评估工作时,会发现很多检查从来没有涉及到的而已存在多年的缺陷或问题。
过去,我曾说过几乎没有机构会制定一个当前业务连续性计划,而对这个计划是否合适的测试就更少了,这令人非常惊讶。但是,更让我惊讶的是这种情况在很多的检查范围内已经存在了许多年。怎么竟然能出现这种情况呢?
让我来告诉你是怎么回事的吧:根据要求,企业会提供一个文件汇总,然后情况大体是这样的,进行实地工作的监察员把他们收到的文件进行登记,然后随便看看,得出结论——“你没问题”。因为从事这个领域的人们一般时间太少,而需要顾及的东西又太多,这使得他们没有足够的时间进行深入检查。有时,一个监察员恰巧打开一个文档,审核一些关键的细节,他们可能会在文档上面做出标记或者备忘录,指出我们缺少近期业务影响的分析,但是这种情况几乎没发生过。
我喜欢给客户一些建议,告诉他们进行必要的产品规则遵从工作的两种原因,可以从中选择一种:第一个原因是这个工作是正确的管理机构和减少风险的方法,或者第二个原因是你不得不这样做。由于监察员的工作方式,非常多的金融机构都倾向于后者,事先准备好一个报告,在要求的时候提交。但这真的是金融机构运作的正确方法吗?
还有,你想一下报告的价值很大程度上是由它的内容以及从事这方面工作的从业者决定的,这种情况下,重要的问题没有被检测到的可能性难道不会增加吗?如果你所做的只是为报告支付一定费用(通常由报价最低的投标公司完成),而监察员所做的只是登记那些在合适的时间范围里完成的报告,为这样的过程担心真的有意义吗?
我比较侧重于说明报告的价值。我的公司长期从事查找真正风险的工作,不是简单地在检查完文件列表后出具一份证明然后就收钱走人。我们趋向于检查客户的基础设施,就如同把自己的钱存在他们那里一样,把我们所看到的跟金融服务现代化法案GLBA 和美国国家信贷联盟署 NCUA的要求直接联系起来。这种方式的价值体现在我们能够作出个金融机构董事们也可以参考的报告,而不仅仅是针对IT工作人员。
但是,如果没人真正关心报告的内容,而只是关心它是否存在,那么费心地好好做这项工作又有什么意义呢?
也许,我们的行业需要采用跟PCI人员类似的态度。也许,美国联邦储蓄保险公司(FDIC)和美国国家信贷联盟署(NCUA)应该给从业人员颁发证书,以证明他们是合格的GLBA专家。虽然在一定程度上,各个公司之间还是存在区别的,但是如果监察员只打算依靠报告的资格和完整性进行评估的话,这么做至少还应该有一个公认的标准和极大的可能性,在这一决定的背后定会有一些理由。
情况到了必须要改变的时候了,希望就在不远的将来。因为使用“最后一刻”的逻辑是有缺陷的,它只适用于对自己的坏习惯进行强制管理。
翻译
相关推荐
-
企业云安全审计要求与建议
企业的云安全工作应该包含审计与保证。对于客户和服务提供商而言,内审和外审以及各种控制措施都是合情合理的、可为云计算效力的角色。
-
全面解析虚拟机安全(下)
除了宿主机上开放的端口,虚拟机层也会使用宿主机的IP开放一些端口,这些端口可以允许其他人远程连接到虚拟机层,以查看或配置虚拟机、磁盘,或者执行其他任务。
-
使用数据库扫描系统评估数据库的安全性(附图)
相对于网上Nessus、NMAP等评估工具,本文谈到的这款数据库扫描产品更像是一款安全测试工具,进行安全评估的时候要输入通用的IP、端口、数据库系统的账号,甚至……
-
实施云计算之后如何保证安全
你已成功地把你们公司中使用的应用程序和数据接入云了吗?如果是这样的话你也不要放松警惕,你和我都知道,其实应用程序和数据的安全维护工作这时才刚刚开始……