2008企业安全:安全管理之难题
2008-09-10 13:22:13 来源:WEB开发网在预测未来之前,我们先花点时间来回顾一下去年的情况。2007年的安全管理全都与“法规遵从”有关,尤其是PCI-DSS(信用卡行业数据安全标准)。但是考虑到几乎所有的美国公司都在某种方式上接收信用卡,所以,PCI的法规遵从也就具有一定意义。
不过令人不安的事实却令人伤心,法规遵从依然是大部分安全运作的主要引擎。就像我兄弟说的,“这是不好的”或者说那样并不好。我们作为安全专家还在努力向组织的其他成员展示价值。阻止违约能够增加价值,这一点没有争议,但是增加多少价值呢?是与投资在安全领域的金钱数目同步吗?这是一些需要回答的重要问题。
我们认为2008年,安全专家的第一商业目标应该是实施结构化的安全程序,该程序的重点是保护最重要的商业信息,设定目标、作出承诺以确保账户安全,以及明确如何及为何要实施一定的安全控制。最终目标是要明确地向企业的操作部门展现安全的价值和重要性。
很不幸,供应商不会在简化安全专家的生活方面提供帮助。那就对了,先不要收起你的工具摊或者布基胶带;2008年出现更多的集成工具,尝试着理解正在发生的一切。安全信息和事件管理(SIEM)依然会很失望,因为该领域的大部分供应商会在2008年对他们的产品进行移植,使其看起来更像日志管理产品。
许多组织会围绕着SaaS,试图弄清楚哪些安全管理任务可以由其他人来完成,而且效率更高。这是件好事,因为内部安全团队并不会做一些事来权衡利益,比如调整垃圾邮件网关、监测IPS日志。但是关键在于创建综合的、明显的工作流,为内部资源对所发生的事提供“主人”观念,为成本最低的供应商有效提供操作策略。
2008年,法规遵从不会在消失。我当然希望安全专家能够关注安全,尽管有违法规遵从,但最终还是需要遵循各种法规,促进IT花费,因而是一项很重要的资金来源,信息安全界需要在来年完成并实现这个来源。
最终,安全专家很有可能服从为审计员而设的规则,这将为提供所谓的GRC产品的供应商创造机会——意在使遵从过程自动化的先进报告和工作流软件包。这些产品都申称能使数据自动集合、自动报告,这样管理人员就不必花几天(或几星期)准备审计。很明显,安全专家还有一个问题,他们需要使其效率比准备审计工作的效率更高。这使得我认为我们需要开发另外一项点式产品来解决这个问题,但是产品终究是产品。
也许明年假期,我就会要求一个标准的报告界面,这样我就能把安全数据插入组织的商业智能软件,获得一些真实有用的数据,但2008年不会发生这些情况,所以我们将会尽力拼凑,以最有效的方式实现法规遵从。
最后,专业安全人员需要注意一个大的趋势:“帝国”不可避免地会消亡。安全资源会纳入其它IT运作团队。网络安全人员将转至网络团队。数据库安全呢?是的,继续留在DBA小组,从属于数据中心团队。
对首席安全官员(CSO)而言,拥有一个“帝国”的想法简直是个噩梦,但是目前的安全工作都是劝导式的工作。成功人士是那些在安全项目中成为领头羊的人。他们需要明白哪些需要得到保护、哪些应该得到保护。然后就是艰难的说服工作,他们要说服同事投资合适的时间、资源、金钱,以提供保护。
2008年的安全管理员更像是一个拉拉队队员。他/她需要不断加强安全意识的训练,而且需要通过范例加以引导,别无他法。
更多精彩
赞助商链接