高层领导不懂信息安全

McAfee联合Gabriel Consulting Group近日发布了一份立场鲜明的调查报告,调查内容是针对147个公司的数据中心的相关问题。调查揭示出很多有趣的数据,其中目前被关注最多的就是:被调查的IT专家中,六成人表示对他们的领导对所管辖的部门的安全问题并不是很清楚。很明显,领导们觉得他们的安全系统都及时更新了,但事实并非如此。实际上,接受调查的人群中40%认为他们的企业安全措施无法跟上当前网络威胁的趋势。

该研究报告还揭示出一些问题。比如,很多企业所使用的安全产品来自七个或更多的来源。但是大多数人都觉得降低安全产品的数量也不会有什么影响。而对于那些曾经遭到过安全攻击的企业来说,大约70%的企业表示攻击来自外部,但是来自内部的安全攻击造成的损失更大。对于攻击带来的影响问题,大部分企业表示直接影响是合规和法律方面的额外费用,其次是导致生产力下降。大部分企业都有独立的IT安全管理人员或部门,并且有对应的安全策略,但是大多数时候这种安全策略落实的并不彻底。

最后,该调查报告还显示了有关云服务采用率的情况。在被调查企业中,将近80%的企业表示安全问题仍然是他们在选择公共云服务时考虑的最大问题。但是,大部分企业更喜欢采用私有云。60%的企业认为如果采用私有云,安全问题就不是首要担心的问题了。而对于企业是否采用了私有云或公共云这个问题上,IT员工中有一半的人表示不知情,另一半则表示知道。

McAfee发布这份调查报告是毫不稀奇的,因为这正是他们的工作内容。但是,很多IT人可能还是不习惯看到自己的好建议会因为成本或用户的原因而被上层领导否决。也不习惯频繁的帮记性不好的领导重置密码,而领导还可能会直接把密码写在显示器旁边的纸条上。有几个领导能够搞清楚一个Drupal Web站点的全部安全防护程序,或者面向外网的VPN服务器上的安全设置,或者公司内部无线接入点的安全设置?毫无疑问,在商人眼里,利润与安全策略关系不大。

安全策略集中化

McAfee的报告中并没有给出什么实际的解决方案,但是安全常识的灌输并不会花费多少钱,而且容易实现。在报告中提到的一种解决方案就是安全策略的集中化管理。这是企业安全里至关重要的第一步,任何企业都要确保在涉及到IT安全问题时,必须使用一个独立的称职的团队。企业内部的安全漏洞通常都是由于操作失误造成的,比如系统维护人员的临时管理权限过大,甚至可以为Exchange服务器添加对外开放的端口。或者密码策略过于简单,只是部门间的电脑密码不同,而同一部门中所有电脑的登陆密码都是一样的,并且再也不会修改。

定期交流安全内容

另一个重要的元素,或者说可以帮助解决管理层缺乏安全认知问题的方法,就是交流。如果只是在饮水机边花三分钟解释新的安全策略并请求领导批准,一般是不会成功的。有些IT人员总是能够成功的让高层批准自己的安全方案,是因为他是一个很好的写手,每周都会给领导写邮件详细汇报安全工作内容,就算这个工作是在周末假日里完成的也不会有怨言。比如新的软硬件系统需求,改变安全策略,主要的潜在风险,以及简短的建议列表,这些都是由IT安全维护团队全体共同协商并通过的内容,而不是某个IT安全主管自己想出来的。在这种邮件里,可以同时提供两套备选方案,一套是标准厂商提供的商业产品,另一套可以是花费更低廉的开源产品。

考虑云服务

最后给出的建议是,云服务如果采用得当,可以有效的帮助企业弥补安全漏洞。对于很多小型或中型企业来说,使用如Amazon, Microsoft 360, 或Google Apps这样的公共云服务,所能享受到的数据中心的安全措施,要比企业自己的数据中心所采用的安全措施完善的多。企业所要做的就是管理信息。比如 Google会定期性的发布有关云计算的稿件,帮助企业更好的使用云服务。

当然,作为IT人员你能做的也就是这些了。企业领导必须愿意听取你的意见,并在该花钱的时候愿意花钱。企业员工也要做好自己分内的事儿,比如避免设置过于简单的登录密码或将登录密码写在显示器上,或者不退出登录就离开办公室。其实在降低企业IT风险的问题上,可做的事情还有很多,但都需要通过对员工进行安全培训,以及与领导层沟通安全问题的方式作为开始。