2008企业安全：安全管理之难题

核心提示：在预测未来之前，我们先花点时间来回顾一下去年的情况，2008企业安全：安全管理之难题，2007年的安全管理全都与“法规遵从”有关，尤其是PCI-DSS（信用卡行业数据安全标准），他/她需要不断加强安全意识的训练，而且需要通过范例加以引导，但是考虑到几乎所有的美国公司都在某种方式上接收信用卡，所以

在预测未来之前，我们先花点时间来回顾一下去年的情况。2007年的安全管理全都与“法规遵从”有关，尤其是PCI-DSS（信用卡行业数据安全标准）。但是考虑到几乎所有的美国公司都在某种方式上接收信用卡，所以，PCI的法规遵从也就具有一定意义。

不过令人不安的事实却令人伤心，法规遵从依然是大部分安全运作的主要引擎。就像我兄弟说的，“这是不好的”或者说那样并不好。我们作为安全专家还在努力向组织的其他成员展示价值。阻止违约能够增加价值，这一点没有争议，但是增加多少价值呢？是与投资在安全领域的金钱数目同步吗？这是一些需要回答的重要问题。

我们认为2008年，安全专家的第一商业目标应该是实施结构化的安全程序，该程序的重点是保护最重要的商业信息，设定目标、作出承诺以确保账户安全，以及明确如何及为何要实施一定的安全控制。最终目标是要明确地向企业的操作部门展现安全的价值和重要性。

很不幸，供应商不会在简化安全专家的生活方面提供帮助。那就对了，先不要收起你的工具摊或者布基胶带；2008年出现更多的集成工具，尝试着理解正在发生的一切。安全信息和事件管理（SIEM）依然会很失望，因为该领域的大部分供应商会在2008年对他们的产品进行移植，使其看起来更像日志管理产品。

许多组织会围绕着SaaS，试图弄清楚哪些安全管理任务可以由其他人来完成，而且效率更高。这是件好事，因为内部安全团队并不会做一些事来权衡利益，比如调整垃圾邮件网关、监测IPS日志。但是关键在于创建综合的、明显的工作流，为内部资源对所发生的事提供“主人”观念，为成本最低的供应商有效提供操作策略。

2008年，法规遵从不会在消失。我当然希望安全专家能够关注安全，尽管有违法规遵从，但最终还是需要遵循各种法规，促进IT花费，因而是一项很重要的资金来源，信息安全界需要在来年完成并实现这个来源。

最终，安全专家很有可能服从为审计员而设的规则，这将为提供所谓的GRC产品的供应商创造机会——意在使遵从过程自动化的先进报告和工作流软件包。这些产品都申称能使数据自动集合、自动报告，这样管理人员就不必花几天（或几星期）准备审计。很明显，安全专家还有一个问题，他们需要使其效率比准备审计工作的效率更高。这使得我认为我们需要开发另外一项点式产品来解决这个问题，但是产品终究是产品。

也许明年假期，我就会要求一个标准的报告界面，这样我就能把安全数据插入组织的商业智能软件，获得一些真实有用的数据，但2008年不会发生这些情况，所以我们将会尽力拼凑，以最有效的方式实现法规遵从。

最后，专业安全人员需要注意一个大的趋势：“帝国”不可避免地会消亡。安全资源会纳入其它IT运作团队。网络安全人员将转至网络团队。数据库安全呢？是的，继续留在DBA小组，从属于数据中心团队。

对首席安全官员（CSO）而言，拥有一个“帝国”的想法简直是个噩梦，但是目前的安全工作都是劝导式的工作。成功人士是那些在安全项目中成为领头羊的人。他们需要明白哪些需要得到保护、哪些应该得到保护。然后就是艰难的说服工作，他们要说服同事投资合适的时间、资源、金钱，以提供保护。

2008年的安全管理员更像是一个拉拉队队员。他/她需要不断加强安全意识的训练，而且需要通过范例加以引导，别无他法。