联邦CISO(首席信息安全官)进行的一年一度调查显示:许多云计算计划都被延后,因为他们现在并不确定在云计算环境中能提供和物理环境一样的安全性以及防止数据泄密的能力。 (ISC)2是一家管理CISSP认证的知名认证机构,它对36家代理机构和局级(bureau-level)的CISO们进行了问卷调查,并将这次调查作为联邦CISO年度匿名调查的一部分。在这些调查中,72%的人表示他们还没有使用云计算,因为存在一些不确定的因素,如云计算是否能有效地保证安全,是否能应用目前的IT安全策略,或是否能有效的防护数据泄密”。 Lynn McNulty是(ISC)2的一个顾问,他在美国国家标准与技术研究……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
联邦CISO(首席信息安全官)进行的一年一度调查显示:许多云计算计划都被延后,因为他们现在并不确定在云计算环境中能提供和物理环境一样的安全性以及防止数据泄密的能力。
(ISC)2是一家管理CISSP认证的知名认证机构,它对36家代理机构和局级(bureau-level)的CISO们进行了问卷调查,并将这次调查作为联邦CISO年度匿名调查的一部分。在这些调查中,72%的人表示他们还没有使用云计算,因为存在一些不确定的因素,如云计算是否能有效地保证安全,是否能应用目前的IT安全策略,或是否能有效的防护数据泄密”。
Lynn McNulty是(ISC)2的一个顾问,他在美国国家标准与技术研究所、国务院和联邦航空管理局中拥有很高的安全职务。他解释说,“很明显,政府正在试图压缩IT经费,并发现‘云计算’正好可以实现这一目标。但是作为一个群体,联邦CISO们是不情愿看到这种情况的。”同时,他也说道:“他们支持对不敏感的应用程序或者数据使用云计算处理,因为这不会涉及任何敏感信息。”
使用云计算服务的CISO们现正在应用基于角色的访问控制,并通过对体系结构进行改进来帮助减轻一些风险。McNulty说,早期的采用者可以给那些仍不情愿部署云计算的人提供一个实践方案。
网络安全运营公司Lumeta的首席执行官Michael Markulec曾参与了多个联邦政府的项目。他表示,政府已经开始构建独立的云计算服务了。美国国防信息系统局(DISA)使用的是基于云的架构,称为快速访问计算环境(RACE),它能为多个不同的机构提供服务。
Markulec在最近的一次采访中说,“这些基础设施服务和旧的帧中继网络真的很相似,在该网络中多个用户使用同一网络,所以这也带来了许多相同的挑战。你需要理解你所拥有的机制,并确保你的访问控制列表和防火墙得到了正确的设置。”
联邦CISO也使用社交媒体,62%的人表示他们使用社交媒体工具,比如P2P、博客和论坛,来支持机构的工作。McNulty说道:联邦CISO们关注的首要威胁中,软件漏洞占了27%,其后是内部威胁(24%),接着是来自外国的威胁(21%)。
McNulty说,“CISO们用了一年的时间来研究潜在的威胁,并对他们所面对的情况持一种不偏不倚的观点。”他还补充道,2009年的调查发现联邦CISO们对来自外部的威胁比较担忧,“那些拥有授权的入侵者和其他一些因素也被认为是威胁。”
McNulty说,网站的漏洞和攻击长期困扰着联邦政府的安全专家们。软件安全性是联邦政府经常关注的话题。美国国土安全部已经实施了软件保证计划,强调软件采购人员必须注意软件编码中的错误。
联邦CISO们报告了Einstein计划的进展,同时指出还需要支持
调查发现,政府的网络安全还有待进一步提高满意度。然而,这些调查表明必须简化招聘程序、避免官僚作风,因为这些都会阻碍技术安全专家的聘用。
McNulty说,“聘用程序启动之后,它可能需要长达一年的时间才能雇到一个人,但是到那时候,技术和进度又发生了改变。我认为,政府必须有竞争意识,必须缩短这一过程,这样才能更好的与私人安全公司进行竞争。”
只有10%的受访者对人力资源和采购业务感到满意,有关专家表示这是一个长期存在的问题,导致许多职位空缺。
McNulty说,许多政府机构正在审查承包人的职责,使其中一些政府部门的工作与联邦承包商有所区别。该调查发现,承包商的转换和私营部门新的雇用会占到他们雇用的30%。其余的将来自奖学金计划(Scholarship for Service program),这样不少大学生毕业后会进入联邦安全部门。
McNulty说到,“将他们转换为政府雇员是一件顺理成章的事情,尤其是当实际承建商已成为机构和部门的一部分时。由于目前的经济情况不景气,对承包商的影响尤其明显,退休福利、医疗保险和其他因素使政府职位成为不错的工作选择。”
Einstein计划涉及了入侵防御系统的跨机构部署,在2009年的调查中,该计划让人沮丧,因为它太注重外部的防御了。但在2010年的调查中出现了转机,有近75%的被调查者表示比较满意或非常满意这个计划。美国政府问责局(Government Accountability Office)审查发现,Einstein计划的实施缓慢,它的第三阶段正在一个试点方案中测试。
“我认为人们最初并不认为Einstein计划适合自己机构的需求,”McNulty说,“今年人们对它表示满意,主要是因为它清楚的响应了奥巴马政府的网络安全倡议”
在2010年RSA大会上,白宫网络安全协调员Howard Schmidt宣布了国家网络安全综合计划(CNCI),该计划能够让公众查看价值400亿美元的机密网络安全计划总结。McNulty 说,透明度的增加、跨机构的沟通,帮助人们减少了在安全方面的失望情绪。
翻译
相关推荐
-
Delta航空公司Deborah Wheeler:从数据泄漏事故中学习经验
从Word到航空公司:Deborah Wheeler在2月份接受了新的挑战,担任Delta航空公司首席信息安全官。新工作状态如何?旅游业
-
CISO:你真的了解你的企业安全架构吗?
关注安全装备是实现透明性的首要一步。这些问题包括:在针对每种安全风险时,企业安全架构中的产品如何有效地完成任务?每种产品或服务的准确率如何? 这些产品真正地满足企业的安全合规需求吗……
-
风口上的AI:CISO需在炒作潮中保持清醒
现如今,越来越多的组织机构开始推广机器学习和人工智能技术,对于CISO们来说,需要在炒作风潮中保持清醒。
-
数据泄露事故诉讼:庭外和解怎么样?
近几年,很多主要数据泄露事故最终会面临集体诉讼,而几乎在所有情况下,这些诉讼最终结果是企业与原告达成庭外和解。作为首席信息安全官,你是否认为庭外和解是最好的办法?