與清洗窗戶一樣,IT安全是一項吃力不討好的工作,因為他們只會在你停止工作之時,才會發現問題所在。在虛擬化、智能手機和云計算時代,若想做好IT安全工作,你就必須避免技術和政策的誤區,尤其是以下五個誤區,要特別地注意:
CIO:避免IT安全五個誤區 做好安全工作
1. 商業思維還停留在五年前
員工在工作中開始使用個人移動設備,企業也漸漸地將傳統的計算資源和應用遷入云中,甚至在你還未意識到時就走入了云端。這時IT部門就要積極引入正確合理的安全措施來應對快速發展的技術,有時候甚至還需要外部人員的合作。雖然這會是一個“不可能的任務”的分配,但它就是你的任務。它可能需要制定新的政策指導以及明確的說明因素等,所以不允許有錯誤的假設。
2. 未能建立IT與高層管理者的工作關系
IT安全部門與IT的其他部門相比,通常很小。而IT安全依賴于IT員工基本安全工作的完成,同時IT專業人士也許需要專業的安全知識,擁有一沓如CISSP這樣的證書,但并不意味著他或她必然是受尊重和歡迎的,因為特別是安全人士總是對別人的項目說“NO”。
另外,不要以為權力結構總是指向作為最高決策者的首席信息官的。一個根本性轉變正在發生:對IT項目下命令的CIO,其權力開始下滑,而CFO開始漸漸擁有IT項目的話語權,而且也有一些跡象表明CFO們并不喜歡IT部門,CFO對安全的想法可能僅限于一般的“遵守法律”。因此,安全專業人士的工作就是溝通、溝通再溝通。
3. 不理解虛擬化安全的重要性
企業在服務器基礎設施、桌面虛擬化方面的工作已完成了80%,而且還在進一步的提高。但是安全卻還在拖后腿,事實上虛擬化架構通過開放新的途徑改變了一切,突破性的技術給安全帶來了更多的問題,因為在IT行業此類安全事故發生的比較多。
一些傳統的安全產品,例如反病毒軟件,它在虛擬機里經常不起作用,物理設備也可能有新的盲點,如今,專門為虛擬化環境設計的安全產品已面市,專業安全人士要做的就是搞清是否需要使用這些軟件,同時還要不斷跟進VMware、微軟、思杰等廠商的安全計劃。虛擬化具有很大的前景,最終也將會提高安全性,特別是災難恢復。
4. 并未重視數據泄漏
一些敏感數據被盜或是泄漏都將會是噩夢。除了技術檢測和修復外,關于數據泄漏還有法律要遵循,但要遵循什么法規呢?幾乎每個地方都擁有自己的數據泄漏法和一些聯邦法規,如HI - TECH法就影響著醫療等行業。盡管這樣,數據泄漏仍然是一件大事,還是一件代價昂貴的事,需要IT安全管理者、IT部門、法律部門以及人力資源、公共關系人員的配合,甚至更多人的配合。企業在這方面,必須要制定最壞的安全備案,杜絕內部數據泄密。
5. 安全廠商的過度自滿
企業一定要與IT和安全廠商建立堅固的合作伙伴關系。但是這其中最大的危險就是忘了如何用批判的眼光來看待廠商的產品和服務 ,特別是弄清他們與競爭對手的關系,還要為身份驗證和授權、脆弱性評估和惡意軟件保護的基本問題找尋新的方法。很多安全廠商還在利用傳統安全控制來適應虛擬化和云計算的工作中掙扎。從某種意義來講,這是一個IT重塑的混亂的時代,同時也意味著IT廠商需要更好地了解企業未來的需求,以便更好地發展。
推薦閱讀
7月初,由韓寒、李承鵬、沈浩波等知名作家、出版人聯合發起的“作家維權聯盟”成立,發出對百度、蘋果侵權行為的討伐檄文。在給蘋果公司發去的律師函中,作家維權聯盟指控蘋果侵犯聯盟方面代理的六位作家23部作品的信>>>詳細閱讀
本文標題:警惕IT安全五誤區
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/188017.html
網友點評
精彩導讀
科技快報
品牌展示