对于安全团队的好消息是企业比以前更加重视安全问题了。数据泄露,法规需求和萧条的经济市场都意味着企业用户更愿意在信息安全上进行投入来保护他们的数字资产。但是坏消息是:安全团队比以前更加受到重视了。这种重视随着而来的就是相关责任的增强。
首席信息安全官与企业的关系可谓爱恨交加。他们经常要扮演战略咨询师的角色,为企业所遭受的风险提供建议。当经济繁荣的时候,企业所面临的风险境遇也比较稳定,首席信息安全官们需要做的就是帮助企业防范潜在的威胁。但是当经济情况比较糟糕时,企业为了进军新的市场,就会尝试改变他们对待风险的态度和认识,通过新的渠道,增加员工等措施接触用户。这时首席信息安全官的工作就面临更大的挑战。
由于Forrester咨询公司正在筹备我们即将在9月召开的安全论坛,因此在过去几个月中笔者有机会亲身采访了数十位首席信息安全官。当然有许多战术性问题,比如像”什么是应对数据安全的最佳方法?””首席信息安全官是否经历了运算压缩或者裁员的难题?”,但是这次我们在这些谈话中看到了一些不同点。首席信息安全官们都很清楚现在的经济形势很糟糕,但是他们对此感觉很非常良好。需要引起警惕的挑战就是为接下来会发生的一切做好准备。对于安全和风险管理专业人员来说,全球经济不可避免的好转趋势才是令人担心的。原因何在?因为这是个未知数,首席信息安全官们要承担这些未知数对企业的影响以及不可预知的防范职责。
因此当我们步入2009年的下半年,Forrester咨询公司深信首席信息安全官们和他们的安全及风险管理人员必然会继续比企业和其他IT人员先行一步来采取措施。如果你身处安全行业,是时间来预测企业的未来,来判断将来的安全走向。
为什么你必须驾驭全新的安全和风险蓝图
做出转变。作为一名安全和风险管理专业人员,你必须懂得随机应变。作为一个行业来说,我们一直在探讨”变化”这个话题:即IT的未来对于工作场所的改变,采购模式和应用软件类型会带来怎样戏剧性的变化。但是变化不再是假设的话题,它是真实存在的。经济形势的恶化导致采购订单的自由落体和预算压缩,员工减少和安全计划的随意性,你必须根据这些情况作出相应的调整。你必须了解如何在目前乱七八糟的经济气候下驾驭全新的安全现状。你所面临的挑战是通过寻找靠近企业模式的方法来重新思考安全在企业内部的角色;建立有效的监管,风险和法规遵从的模式;建立正确的优先权设置;部署一个能对对这些安全变化作出反应的体系架构。
作为安全计划的开始,Forrester咨询公司推荐了几种你必须掌控的三种主要转变:
1)企业预期的转变;
2)所有权的转变;
3)安全体系架构的转变。
预期的转变:让你的安全和风险管理实践更加现代化
在未来一年中在安全预算趋于平稳或者压缩的情况下,你必须对你的安全和风险管理实践现代化。你必须重新评估如何和企业同仁进行联络,如何对你的企业结构流线化,检查你的员工来确保你聘用和挖掘了正确的安全专业人才,甚至还要重新评估你所拥有的技术和领先能力。你还必须通过关注更加流线化的企业结构来重新构思企业与其,改进评价和衡量企业价值的测算方法。你还要鉴别新出现的技术差距,招募数据安全,云计算,风险管理和安全及风险管理领域的高端人才。
所有权的转变:保护企业外部的数据
IT最新发展的外包和消费模式正在脱离IT的控制。云计算的出现给了IT部门更多的灵活性来外包IT服务。同时,你的员工也需要更多的灵活性,使用消费类设备的员工也会脱离传统的安全控制。结果呢?你不再拥有你的数据。你必须重新考虑如何监管和保障外部提供商和员工处托管的数据安全,重新思考全新的外包模式和员工合同,和Tech Populism(Forrester公司授权员工可以在工作区使用消费类IT产品和服务的团队),将审计控制扩展到第三方,判断那种安全服务属于云。
安全体系架构的转变:构建一个灵活的,法规遵从的基础
一家大规模的企业需要独一无二的方法来构建安全体系架构。安全措施薄弱的企业必须考虑如何架构他们的IT环境,让他们与新兴的研究生,托管服务,Web 2.0,消费类设备和虚拟化资产相适应。你的手心信息官需要你对信息安全体系架构重新工具化来加强验证和访问管理,数据安全和发展中的安全运行中心。当然你做这些逼近可以控制耗资巨大的法规遵从需求,而且还可以把他们作为构建灵活安全基础的基石。具备远见卓识的企业已经开始按照PCI DSS等法规标准的要求去构建他们的安全基础了。
判断你2010年的信息安全优先权
虽然所有这些转变都很重要,都将重新构建企业的信息安全优先权,但是要同时应对这三个方面还是比较困难的。Forrester咨询公司推荐你从关注所有权转变这个环节开始着手–尤其是面对IT消费化的压力。原因何在呢?因为这方面转变的不可知性是最大的,你的工作就是对企业影响进行量化。重新构思企业与其和构建全新的安全体系架构需要意识的重建,但是他们都不是新问题。不过由快速发展的消费类硬件–比如说iPhones,超便携式笔记本电脑和Macs与消费类软件的结合–比如说Google Docs, Twitter, Facebook 和TripIT带来的新风险应该是你优先考虑的。首席信息安全官不再是简单的行使”否决权”和阻止员工在工作场所使用诸如此类的技术。步入2010年以后,你必须与企业需求一起与时俱进,对包括消费类硬件和社区媒体在内的可用性协议进行升级,随着数据逐渐从企业内部流向外部,你必须执行技术控制来监控数据。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
勒索软件给事件响应带来压力
研究表明,随着网络罪犯将注意力转向勒索软件攻击,2017年泄露数据记录数量下降近25%。 根据2018年IBM […]
-
企业有望通过安全分析来应对网络威胁
几十年以来,安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产,同时,随着企业越来越依靠技 […]
-
隐藏Word功能可能导致系统信息泄露
研究人员发现一个隐藏的微软Word功能,该功能可能被攻击者滥用以获取受害者的系统信息。
-
云栖大会前夕:阿里云安全来了场神秘发布
国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……