对于企业的IT管理者来说,最头疼的问题就是内部风险,Web2.0,法规遵从和应用软件安全。思科公司最近发布了一年两次的安全风险报告,为解决这些彼此关联的问题提供了一些常识性建议和意见。
防御起来最为困难的风险可能就是内部风险。这个问题的确也是屡见报端,一家能源公司和美国国务院最近都报道了与此相关的犯罪事件。
思科研究院兼首席安全官帕特里克.彼得斯在接受采访时就表示“这个问题日益恶化主要有三个原因。第一个原因是经济因素。许多员工将他们的绝望付诸于危险行动。第二个原因是雇主和员工的关系发生了变化,第二个原因就是生产全球化趋势和外包业务的发展”。
面对这种风险,彼得斯表示企业用户应该加强验证和审计意识。但是可能会出现适得其反的情况。彼得斯强调说蒙大拿州Bozeman市最近要求工作申请都要使用他们的密码。彼得斯表示“这种做法可能会控制真实的风险,但是他们执行的协议可能是非法的和没有必要的”。
彼得斯表示企业必须识别风险,将协议应用到特殊的工作职能和行业中去。“企业用户不能实行一刀切的协议。我们之前就强调过有必要去了解你面临的风险”彼得斯强调说。
“令人意外的是有如此多的企业并不关心也不了解他们面临的风险,也没有采取相应的战略去把危险降低到最小化”彼得斯表示。事实上,安全协议的实施经常是受到法规遵从的推动,而不是出于风险管理的需要。
彼得斯解释说,这意味着问题出现时必须积极的去解决。没有人应该现在才去解决两年前就出现的问题,但是在现实中,很多企业都是这么做的。
“首席安全官必须显示出他们的领导才能,关注现实中的风险问题”。彼得斯强调说通常在特殊的垂直行业中–比如说金融服务业,当他们的竞争对手之一为此而成为新闻的头条,公司就必须去解决这个问题。彼得斯表示,当这个问题发生时,他们应该好好的反思在他们从新闻中知道这一切之前,为什么就没有发现这个问题的存在。
研发人员
软件研发平台可以在研发人员开发新的应用软件时,用于帮助公司管理风险。IBM公司推出了以云为基础的许可证授权软件来应对这个问题。开源项目厂商TeamForge也承诺说会帮助企业解决这个问题。
上周Verizon Business公布了一种应用软件安全服务来管理应用软件的整个生命周期,甚至能帮助企业改进他们软件的研发流程。
彼得斯表示这有一种真实的需求。“鉴于软件研发的快速性和研发流程的复杂性,如果你犯了错误,特别是在网络软件研发方面,就会导致比以前更高的风险性。犯罪分子利用这个错误发起攻击的速度是非常迅速的”。
软件即服务和Web 2.0
企业用户担心Web 2.0,但是又必须承认它的优势所在,如果将Web 2.0的风险忽略不计的话。彼得斯表示“安全和风险总是如影相随。社交网络是安全专家最糟糕的梦魇:就像流行病学所说的,同处在一个房间中的任何一个人打个喷嚏都会相互传染”。
但Web 2.0的诱惑遮蔽了所有的风险隐患。彼得斯表示他曾经使用过的最安全的电子邮件服务是在1987年他在斯坦福大学上研究生时候的事情了。“那时我可以给斯坦福大学的任何人发送电子邮件。它比我现在使用的电子邮件要安全的多,但是它有极大的局限性”。彼得斯表示。
社交网络协议必须以真实的数据为基础。如果数据是胡编乱造的,用户也将面临风险。
彼得斯表示“如果IT部门忙着说不,企业用户会认为IT部门是在回避问题。然后IT部门的位置就会陷入尴尬”。
对用户的培训
彼得斯表示,当他对员工进行培训时,即使是对经验丰富的员工进行培训,视频都比文本资料的作用有力的多。彼得斯解释说“当我向员工展示某人浏览网站的视频并告诉他们在屏幕后发生的一切时,甚至了解这些的安全人员的眼睛都放出了光彩,他们的理解也会有所不同”。
“当你说‘不要碰那个炉子,它很烫或者说‘警惕Windows Active-X控制风险中的漏洞’,你必须要结合现实情况进行讲解。一旦他们理解了‘有人正在试图伤害我们和公司’,我们的安全战役就取得了一半的胜利”。
指导方针必须简短明了,方便记忆,彼得斯还补充说。许多安全协议都是在10年前或者更长时间以前制定的,有些条款必须补充进去,但是不要进行删减。
缩短安全指令的一种方法是针对特殊工作职责或者行业类型量体裁衣制定安全指导方针。彼得斯强调许多IT部门在终端管理上已经在这么做了。如果超便携式笔记本电脑要连接到桌面系统上(只要它不是在处理政府工作),那么与旅行售货员所做的还是有所不同。