一些企业往往在随意安装所有技术性防御的时候无形中扩大了安全漏洞,这是为什么呢?
这是一项所有IT安全从业人员都在做的为时已晚的调查:企业都过于痴迷法规遵从,他们随意将一些安全技术放在需要执行的列表中,这种做法恰巧增加了企业的风险。
总部位于加拿大安大略省CISO和安全顾问James Arlen对此发表了看法并给人们提出了一些建议。以下是外网的采访记录。
问:近几年关于安全的问题讨论得不少,但是作为一个CISO,你最关心的技术问题是什么?
答:我们需要更加关注安全技术实施的质量。仅仅将东西买来,静静地等待这项技术“死去”是不够的。如果你能够让你所需要采购的东西符合一系列的标准和法规并保证其一一通过公司的批准,当然很了不起,但是你能保证你建议采购的这些东西的价值吗?
问:你是否也看到了这些情况的存在?
答:在很多情况下,由于执行和实施的问题,使用的价值确实无法确保。你购买了这些东西,并让它们开始运作,红灯闪烁,发出运作的声音。但是它们也许对你来说没有任何用处。你所做的对风险降低没有任何帮助。我们需要找到一些能更快做得更好的方式。
问:可否举个例子告诉我们,在你的业务生涯中,你在哪里看到了这种问题。
答:在我漫长的安全顾问职业生涯中,我几乎总能看到这些现象的存在。你会看到,在部署防火墙的时候,需要进行大量长时间的规则设置以及各种各样的努力。但是,不久你就不得不面对最基础的规则设置,发现事先进行繁冗的规则设置可以让测试变得更简单,或者可让它们更快地投入到公司业务中。
不幸中的万幸是,当你成为一名安全运营人员的时候,你会对更多的人进行培训,因为安全行业是个变化很快的行业——快节奏也意味着“高营业额”。有些设备你不得不搁置下来,因为你没有这方面的专业人才。
问:通过对广大人群的培训,这些问题可以缓解吗?
答:在你还没有到执行那一步的时候,培训的费用不可以放进预算中。培训费用按理说应该来自于你日常的运营预算,实际上你并没有这部分培训费用。你根本负担不起送一个人到某个地方进行数周培训的经费,当你想雇一个有这方面能力的人时你就会产生这样一个念头:你希望你可以雇佣这种技能。最后你必定面临“雇佣还是解雇?”这样一个对企业安全没有任何用处的问题上。你最后不得不抡起手中的“锤子”砸向那些需要加以重击的“钉子”,没人知道谁最后会成为这枚“钉子”。
问:最近国外一项调查中,企业告诉记者,他们近几年已经花费了几千美元的经费来支持他们的IT安全系统。但是有些已经开始反思是否值得这样做。
答:这就涉及到了我这么多年来一直设法让人们理解的一个观点:你不一定被兼容,但你要在一开始做到“兼容”。你不想符合具体哪项制度。而应该符合所有制度的“超级集合体”。最佳的做法是拥有必要的开明的欲望并且用来做正确的事情。
最后我们发现,安全花费与季度业绩和股东价值有着不可分割的关系,因为到最后一天,安全消费其实只是另一种保证金。
