安全经理日记:不要为时已晚时才改变决策

DoSECU 安全分析 9月25日消息:你知道是什么会让经验老到的安全经理真正抓狂?据说是想修改已经做出的决策时发现已经为时晚矣,没有人认为安全经理的意见是必要的,企业也没有准备相关的预算去解决安全经理在最后时刻要紧急处理的难题。所有这一切都在我身上再次重演。

这一次的问题出现在MFD-一种看上去就像复印机似的多功能设备。当工人来到现场准备拆卸下我们所有的激光打印机,然后开始安装这些新设备时,我诧异的发现我们已经签署过用MFD来替换现有的所有打印机的合同了。。

我认为我们的老打印机还不错,但显然如果我们使用使用这些新的智能设备就能节省很多钱,因为这新设备在纸张用完,需要添加碳粉,更换硒鼓或堵塞时都可以直接寻求帮助。他们都是网络连接的,可以打印,扫描,复印,传真,发送电子邮件和除了料理之外的一切事情。听起来很酷,对不对?

问题是他们不是真正的打印机,而是附带外围设备并提供多项功能的联网计算机。我曾与供应商讨论过这个问题,发现这些MFD确实运行的是Windows操作系统 -而且是很老的版本。我们在公司的网络中已经部署了新的Windows系统。您可能还记得,在过去一年我已经付出了巨大的努力来处理的Windows补丁管理的事情。这些新设备的出现又改变了游戏规则。

我和项目经理碰了下头,了解更多关于所发生事情的细节并决定如对其实施安全控制和纳入工作计划。她有些郁闷的看着我说 "这些只是打印机,为什么我们需要担心安全问题呢" 。

我解释了这些设备的大脑实际上是Windows计算机,因此根据公司制定的标准我们必须强化他们的安全,并找到一种方法来每月更新他们的基础软件并进行锁定。这并不是一个受人欢迎的发现。"我们没有这方面的预算,我们也没有时间,"她告诉我说。

对“临时” 的定义

MFD在两天内就部署完成了,现在他们给我们的网络带来了潜在的安全风险,蠕虫或病毒随时都可能发作。但也有其他问题。最令人担心的是:在MFD上扫描,打印或通过电子邮件发送的任何文档都"暂时"存储在计算机的内部硬盘上。我把暂时这个词打上引号是因为这些文件在系统删除他们或放入回收站之前都存放在那里。更糟糕的是,如果机器发生故障,我们的供应商就会把设备拿走进行替换-谁知道这些"临时"文件最后的下场?替换后的MFD必须进行加强安全,如果将来我们都要使用它的话。

我必须弄清楚如何锁定了这些东西,以及如何对其更新。如果在合同签署之前已经在规划之列,我可以说,至少要签署一份协议来保证通过CD进行季度更新。这样就会增加费用,这是事实,但合同不应该在节约成本的基础上签订-特别是还没有取得实质成果的时候就去把一切归结于所涉及的所有费用。

有趣的是,我们公司在审核新技术安全上制定了非常完善的流程。但是对于工作的流程,人们必须意识到购买的某种设备也是新技术。当他们将这些认定为应用工具,那么安全就必须提上议程。