关于美国政府无法适应技术发展的趋势,象私营企业家一样为国家基础建设的发展指定有用的政策,从而导致失败的问题,我已经写过多篇文章。但是,首席信息安全官杂志的一篇专访,提出了一个重要的观点,它暗示针对安全技术的发展,需要改变的不仅仅是政府官员的观念。下面的内容就来自于文章中的双方,首席信息安全官杂志的编辑记者和国土安全部网络安全局信息分析与基础设施保护办公室主任阿姆里特·约冉。
这场经济危机几乎肯定会导致更多管制措施的出现,但就此判断IT安全领域将受到影响还为时尚早,[阿姆里特·约冉]这样说。
但是,他仍然认为公司采取了误入歧途安全的审查措施是会导致错误的。遵循和安全并不是同一件事情,在这方面人们往往存在误解,因此,应该进行深入的了解和研究。
"太多的公司为测试进行培训了,可以这么说,开发中的安全工具都计划通过兼容性测试。你还会看到更多的例子,这实在太可怕了。"他说。
来源:2008年11月17日出版的《首席信息安全官》杂志中的文章《来自美国国土安全部和首席信息安全官杂志工作人员两种关于安全发展的不同观点》
我认为这一点涉及到公司如何看待其保护敏感信息的法律责任。约冉认为,太多的人把规则当成为安全了。这是一个大问题,一名安全专家应该知道会出现什么情况。
举例来说,萨班斯-奥克斯利法案的规则,仅仅是确保公司的财务报告是可以信赖的。它对如何保护员工或客户资料没有什么大的影响。只有当执行层指导的内部审计超过萨班斯-奥克斯利法案规定必须的定期审计时,和个人可标识信息有关的问题才会被讨论。
对于公司来说,将安全工作的重点从遵循法律转移确保所有机密信息的保密性、完整性和可用性不是一件简单的事情。这需要很大的耐心。而耐心本身就是毅力、容忍和接受的总和。
作为安全管理人员,我们必须坚持不懈地努力,以帮助管理人员和其他员工看到安全的重要性已经超出了管理上的限制。不管我们可能会变得如何沮丧,确保公司网络的安全运行这都是我们的工作和责任。
转变遵循法律的观念为实际安全的过程,经常会出现进两步退一步的情况。不需要做桌边大声宣传或者召开大会这种表面工作,我们应该做的是让其他人慢慢的改变,最终达到实现信息安全的目的。行动后审查、根本原因分析以及适时的宣传培训等措施比起侵略性、对抗性的做法来更有效果。
最后,我们需要接受公司管理人员、同行和下属走向符合我们要求的战略安全目标的速度。只要我们能够取得进展,只要已经存在的漏洞得到基本控制,可以防止因为疏忽而导致的信息泄露,所做的任何工作是有价值的。我不建议安全管理人员为了降低风险在内部网络和互联网之间建立防火墙,实际上,我们应该做的是,坐下来接受这种不可避免的事情。(相信我,有很多中小企业在内部资源和外部网络之间是没有任何数据包检查措施的。)对于安全来说,接受必要的发展,并不断努力,改变人们对安全的误解,才是一件非常重要的事情。
忍耐可以帮助我们慢慢地接近最终目标,而同时不会影响人们对安全的控制。