McAfee证实规则遵从是IT安全的关键驱动力

根据安全巨人McAfee公司上周发布的关于新风险及规则遵从的调查发现,规则的要求持续地驱动着IT技术上新的投资。

对353位涵盖IT决策者、咨询顾问和安全分析师的调查发现,尽管公司没有把安全和规则遵从联系起来,但通常情况下,CISO和IT指导者必须通过把IT安全项目和合规需要联系起来以证明其合理性。受访者表示大约25%的时间,规则是启动新IT项目的原因。

名为“2011年风险和规则展望”的调查于上星期三发布,该调查由McAfee公司委托Evalueserve公司在去年12月实施。

调查要求受访者对他们认为满足合规要求最具挑战性的技术领域进行排名。受访者认为保护数据库的要求是最具挑战性的。几乎所有被调查的公司(大约为93%)表明他们已经或者正打算部署数据库活动监控工具。网络安全要求排名第二,随后是应用安全。

“对于CIO们和他们的团队而言,最大的挑战是保持他们的系统满足合规要求”,报告说。“排名第二的挑战是完全地IT控制自动化,而理解复杂的合规要排在第三”。

受访者也表明变更管理是努力维持合规中主要的问题。企业估计公司一年中14%的宕机时间是未授权变更的结果。要处理变更管理这个难题,75%的受访者表示部署配置评估工具,68%表示实施完整性监控,接下来是数据库活动监控工具。

调查发现当审计员查看审计记录时,变更管理纠纷会让问题火上浇油。合规遵从审计经常让IT团队处于“救火员”模式,一个问题会动摇战略的项目和业务目标。只有25%的受访公司声称他们对审计不感到忧虑。

调查显示,“更重要的是,尽管大约六成的公司在他们的审计记录中记录发生变更的类型和时间,但其中只有不到一半会同时记录执行变更的人员和地点”。“无法追溯变更人员给责任定位留下了巨大的不足,既无法正确地履行他们的职责,更甚者,使得追踪恶意的内部人员变得更为困难”。

McAfee的调查指出,自动化的风险和规则遵从工具及标准化的安全套装有助于减轻评估规则遵从的负担。