IT安全往往是个吃力不讨好的任务,因此只有当IT安全无法保障的时候,别人才会注意到它。为了在虚拟化、智能手机、云计算时代也做好此工作,必须避免技术和政治错误。以下是IT安全经理应该注意的5点变化:
1. 公司业务形态已经发生变化
事实并非如此。现在大部分公司都会允许员工在上班时使用个人移动设备,而且有些公司已经逐步将计算资源和应用程序迁移至云计算中(有时是在IT安全人员不知情的情况下),IT安全经理的力量和影响力正在逐步被削减。IT安全经理必须主动将合适的安全措施应用到快速发展的技术上(有时这种决策还是由非IT部门作出)。这可能需要制定新的IT政策来规避风险因素,因此在这方面不能有任何错误。
2.要与除CIO外的部门经理保持良好工作关系
IT安全部门相对IT其他部门来说通常较小。IT安全只是依赖于IT人员完成基本的安全工作。安全专业人士可能会拥有精通的专业知识,拥有诸如CISSP等许多证书。但这并不代表他们能得到其他人的欣赏或喜欢。尤其安全人员经常会因为某些安全问题而对其他人的项目说“不”。
而且,现在的企业中CIO并不总是IT项目的最高决策者:CIO作为IT项目指挥官的传统角色正有着基本转变,而首席财务官在IT项目上有着越来越多的最终发言权。一些证据表明CFO甚至不喜欢IT部门。CFO关于安全的见解可能只是像一般人的法律观念——“遵从”。因此,安全专业人士在工作中必须是交流,交流,再交流。
3.虚拟化技术带来安全新挑战
公司正逐步实现对80%的服务器基础结构进行虚拟化,而且桌面虚拟化项目也在日益增多。但是虚拟化相关的安全技术仍然滞后,许多人仍然错误地认为虚拟局域网已经是虚拟化时代的结束。事实上,虚拟化架构正在通过开放所有可以利用的路径改变一切。正如之前在IT行业已经发生数次的:在人们并没有足够重视安全方面影响的情况下,突破性的技术也已可用。
一些传统的安全产品,比如杀毒软件,通常不能在虚拟机上良好地运行。物理设备也可能会有一些盲点。现在,专用于虚拟环境的安全产品最终进入市场——而安全专业人士也要弄清是否真正需要使用这些安全产品,同时还要跟上不断变化的厂商安全计划,比如VMware、微软、思杰。而且在最终提升安全水平特别是在灾难恢复方面,虚拟化潜力巨大。
4.对未来可能的数据泄漏做足准备
一旦敏感数据被盗窃或者被无意泄露,这将会成为一个噩梦。除了技术检测和技术修复以外,用户必须遵守数据泄漏的相关法规。但是究竟是哪一部法律呢?例如在美国,几乎每个州都有自己的数据泄密法,还有诸如高新技术法的联邦法案,这些法律会影响某些其他行业(比如医疗行业)。一旦数据泄漏,就会成为重大事件,而且调查所需的话费极大。这要求IT安全经理、IT部门法律部门人力资源部、公共事务部等部门要协同合作。公司应该为最坏的情况做好准备,并且在内部进行数据泄漏操练。
5.不应满足于现有的IT安全厂商
与IT及安全厂商结为亲密的合作伙伴相当必要。但是在任何厂商关系中都存在的风险是:用户往往会忘记用批判的眼光看待产品及服务。许多厂商正力图将传统的安全控制手段去适应新的虚拟化和云计算环境。在某种意义上,现在形势有些混乱,因为IT行业正经历一次彻底的变革。但是,那只是意味着用户需要更加大力地推进IT安全以使公司满足其现有与将来的需求。
【编辑推荐】