在2016年的(ISC)²亚太信息安全峰会上,(ISC)²首席执行官David Shearer先生接受了51CTO记者的采访,分享了自己对于信息安全行业未来变化趋势的展望。在Shearer先生看来,各国政府与公民对于个人数据的保护意识在增强,而这将可能会深刻的影响信息安全行业、云计算行业乃至整个IT行业未来的格局。
以下为采访实录。
51CTO:您之前提到过安全领域的人才状况,说我们将会面临严峻的安全人才短缺的问题。这是一个全球性的现象吗?
David Shearer:是的,这是一个全球性的现象。我们每两年开展一次《全球信息安全人力研究》调查(Global Information Security Workforce Study),2015年的研究报告采集到将近14000份问卷回复,这份样本的平均年龄是42岁,而30岁以下的人群仅占总人数的6%。
导致这一现象的原因仍然有待研究。在美国的情况是,这几年从大学的计算机科学系毕业的学生越来越少,这可能影响到进入信息安全行业的毕业生的人数。然而在亚太区,计算机科学系的优秀毕业生一直都是非常多的,但愿意进入安全行业的年轻人还是不多,所以在亚太区可能有一些其他的原因。
我想,这可能跟我们传达的信息还不够有关。我们是否让年轻人认识到,信息安全行业是一个充满刺激的领域?这个行业可以一直做到老?是否让他们对这个行业产生兴趣?
总之,这的确是一个全球性的现象,所以我们才要召开更多这样的活动,向年轻人们传递这些信息。
51CTO:人才短缺的现象是否也在整个行业内的不同领域普遍存在呢?比如,我们是更加缺乏业务安全咨询方面的人才?还是系统运维安全方面的?或者是网站应用安全方面的?
David Shearer:你的问题涉及到我一直以来强调的一个观点,那就是信息安全从业人员必须要能够跨界。你想要学习软件安全,你就必须了解编程。你要做医疗安全,就必须了解患者医疗记录这种信息的独特性。
从统计的数据来看,我们看到更多的短缺来自入门级别的岗位,这与刚才我们提到的这个行业缺乏年轻人是有所关联的。入门级别的岗位需求比较广泛,需要从业者掌握更加宽泛的一系列技能。而另一方面,一些专业性很强的领域也有明显的短缺,比如渗透测试(pentesting)、防火墙等,但总体来说各个方面都呈现人才短缺的现象。
(ISC)²拥有超过115,000名认证会员,由遍布在160多个国家和地区的网络(Cyber)、信息(Information)、软件(Software)与基础设施(Infrastructure)安全专业人士组成。我们关心的是一切种类的信息安全,这也包含以物理形式存在的信息。这在现在世界上很多地方还很常见,比如在医院或者是律师行,里面的很多内容还是没有数字化的,这些信息的安全我们一直在关注。现在的大趋势是一切信息都在数字化,所以网络的重要性越来越强。然而在一切信息都数字化之前,信息安全仍然是一个更加广泛的工作,并不单纯是技术层面的事情。
无论是任何形式的信息安全,其目的都是对信息进行价值评估,并且确保其收到保护、不会丢失或者被盗。技术只是实现该目的的一种手段。
51CTO:现在云计算是大趋势,而基础架构的云化似乎有一个趋势,就是信息越来越多的集中在全世界少数几个公司的数据中心里面(而不是自家的硬盘里)。这是否意味着我们未来将会只需要这几个公司的安全团队来保护所有人的数据?
David Shearer:我们跟云安全联盟(Cloud Security Alliance)联合推出了云计算安全认证CCSP,因为他们在云计算领域的研究非常收到业内的尊重,他们了解云计算行业的变化趋势以及云计算解决方案和云服务的变化趋势。
的确,很多公司正在往云计算平台移动,在这个过程中,他们从“投资硬件模式”转换为“运维投入模式”。看起来,似乎是有可能呈现“集中的安全团队”这样的趋势。
然而,欧盟推出了GDPR条例(General Data Protection Regulation,《通用数据保护条例》),这一条例正在个人隐私层面和数据主权层面改变着世界。GDPR关注个人数据的流向,要求存储个人数据的企业为这些数据提供保障:即如果你的业务涉及欧盟公民的个人数据,则这些数据不可以离开欧盟境内。这对于云计算服务商而言可以说是一条颠覆性的法规。
我认为GDPR的推出会导致更多的合作,即全球的前三大或五大的云计算服务商将更多的跟本地公司合作,或者是并购,从而形成本地化的云计算服务。
至于这样的趋势会形成更大更集中的安全团队,还是会使得安全从业人员更加分散,仍然有待观察。在我个人看来,如果那些巨头们以并购为主要的手段,那么安全团队可能会趋于集中,反之则可能趋于分散。无论如何,GDPR还有两年的强制执行期限,所以还需要时间的验证。
所以,云计算安全原本就是一个相当复杂的话题,而现在有了GDPR的介入,事情开始变得更加复杂。
我们这个行业很少有什么东西会变得更简单。在以前,可能大家想到信息保护首先会想到数据中心内部的保护。然而在今天,个人信息在网络上到处流转,GDPR要求你存储在某国的个人数据不能离开某国,而且当用户离开该系统时确保其信息从系统中清理。从目的的角度来看,这是将用户的个人信息的支配权重新还给用户,强制性的确保个人信息得到正确的处理,然而这其中的执行会有很大的挑战。
GDPR现在只是在欧盟内部推行,不过我们可能会看到此类法规开始在全球蔓延。
51CTO:那么目前来看,是否有一些新创的公司来尝试处理这方面的要求?或者是传统的公司在这方面更加积极?
David Shearer:我认为这两个问题的答案都是肯定的。没有任何人可以忽视这个法规的推进,即使你是百年老店,也必须要遵从这些法规。
到目前为止,我还没见到很多新创的公司在处理此类问题,毕竟GDPR条例的通过也不过是几个月之前的事情。不过正如我上面所说,我们应该会看到大量的合作。
51CTO:数据泄露可能发生在Web应用层面,也可能发生在硬件的层面。作为业务的所有人,面对如此多可能发生数据泄漏的点,要如何尽可能的将问题简化?
David Shearer:对于业务的所有人,我经常强调的一点是,有关数据保护最根本的事情就是建立起清晰的“信息资产清单”(inventory)。
信息资产清单首先关注的是你所掌握的信息:涉及你业务知识产权的信息有哪些?涉及用户个人可识别信息(Personal Identifiable Information,PII)的信息有哪些?根据相应的评估(隐私影响力评估,privacy impact assessment),不同级别的信息需要不同的控制强度。这个阶段的工作是最基本的,而这并不涉及技术层面的堆栈,数据在上层还是底层是之后才考虑的事情。
首先为你的信息重要性做好上述评估,需要怎样的控制强度,然后根据其所需的控制强度,安排它们存储在哪里,如何存储,如何流转,需要怎样的加密等等这些技术细节。
数据的流动是个复杂的问题,尤其是在移动设备如此普及的今天,有关个人信息的控制充满挑战。就GDPR而言,如果你的企业达不到其要求,你的企业最终会面临一系列的处罚。
如果你的业务是开发应用,那么在设计阶段就需要将用户场景考虑在内,搞清楚使用过程中涉及了哪些人,他们之间如何互相通讯,当中的数据如果有法规要求予以保护的,则需要被标记并予以恰当的处理,如不能流出欧盟,以及用户退出之后需要将其数据删除等等。
很多人都在研究GDPR对自己的业务可能造成的影响。虽然该法规现在仅限于欧盟,而全球还没有统一的类似限制,但即使你今天的业务跟欧盟没有关系,也不排除你未来的业务不会受到相应的影响。也许到某一天,你的业务是否能够成熟的处理数据主权的问题,可能会成为对方采购时考虑的因素之一。早点做好准备总是没错的。
51CTO:最后,对于您之前提到的入门级安全从业人员短缺的问题,能够给想要进入该行业的、但是还没有从业经验的年轻人们提供一些建议吗?
David Shearer:我可以推荐我们(ISC)2的准会员计划(Associate Program)。大家都知道像是我们的CISSP认证是要求很高的,首先你得有五年的业内经验,然后通过考试,才能成为会员。还有像是面向IT系统与基础设施管理的SSCP,也需要一年的从业经验。
而准会员计划则是,即使你没有过从业经验,也可以通过考试而成为我们的准会员。以准会员的身份参与业内的工作积累经验,比如CISSP需要六年,SSCP需要两年;同时在这段期间,你一直维持你的认证以证明你正在不断的更新你的知识积累。那么当时间要求达到的时候,你就从准会员成为了正式的会员。
准会员计划不仅适合那些毕业生们,同时也适合那些希望从其他行业转到安全行业的人们。这可以给他们一个很好的过渡。
准会员计划并不意味着我们希望降低认证的标准,我们将一直用高水准的标准来要求我们的会员,确保他们是专业的行业实践者。通过准会员计划,我们希望能够提供多一种途径,帮助更多的人成为安全领域的专家。而需要安全人才的企业,也可以从中吸纳到一些新鲜的血液。
51CTO:好的,我的问题就这些。谢谢Shearer先生接受我们的采访!