企业信息安全该由谁主导?

McAfee最近的一份调查报告显示,相当多的企业高层领导不熟悉自己企业的信息安全策略。专家表示,企业尤其是安全产品厂商,应该拥有一名专门管理风险问题的执行官,但是用户所关注的不应该是一个官衔,而是厂商的产品经验和安全防护技术。

首席安全官(CSO)是企业中专门负责管理风险问题的最高级别职务,不仅仅是大型企业,包括各种看重安全问题的企业,CSO都是一个关键性的角色。但是,终端用户不应该只看企业是否有这个职位,而是要看企业的专业程度以及与信息安全风险斗争的经验。

Robert Walters 咨询公司的IT商贸部门咨询顾问Naren Ganjoo表示,随着企业向虚拟化和云计算迁移,信息系统的安全性成了越来越重要的问题。

Ganjoo 表示:“所有的企业现在都有一个专门的安全人员,负责管理内部的安全策略,进行日常的IT安全审核,以及设置新的安全策略等工作。”

Ovum 的首席分析师Graham Titterington也表示,根据调查,企业的CSO和CISO(首席信息和安全官)的数量呈现“小幅增长”趋势。他认为,大型企业,尤其是与信息技术相关的企业,如果不设置此类职务将无法正常运转。

他解释说:“在大型企业中,企业的工作任务需要安全专家主持,并且此类工作都需要足够丰富的安全经验。因此最好有人专门负责此类工作。而小型企业可以考虑将CIO或其它职位与CSO的职责合并。如果一个企业对安全性的要求很高,比如安全产品厂商或者银行等,是必须配备CSO这个职位的,但是其它企业在这个问题上,我认为可以灵活对待。”

但是Titterington也告诫人们不要过于关注于CSO这个头衔或角色,因为重点不在于此,而是在于“企业能够实现很好的信息安全”。

如果企业没有预算用来支持一个独立的CSO,他们可以考虑向服务供应商或咨询顾问寻求帮助。

Gartner 调研经理Lawrence Pingree也有类似的观点。他表示:“如果企业的财力无法支持内部长期聘用的CSO或CISO,可以考虑请咨询公司帮助解决安全管理问题或雇佣一个有一定经验的安全工程师或架构师,逐步帮助企业搭建起一套成熟的安全体系”。

Gartner 有一套ITScore模型,可以帮助企业检查安全系统的成熟度和它的效率。

安全软件厂商的现状

经过采访,Gartner的Pingree 表示,美国市场前五大安全软件厂商都配备有专门的安全管理人员。具Gartner分析,这些管理人员的职位并不属于经理,也没有列在公司官方网站所介绍的管理团队中。

在对 Symantec, McAfee, Trend Micro, IBM 以及CA Technologies 这五家公司的Web网站进行浏览后,我们会发现所有公司的管理团队介绍中都没有CSO 或 CISO这样的职级。不过McAfee曾在10月18号登出一则位于Santa Clara的CSO职位信息。按照ZDNet 的理解这是一种职位更换。

而 Trend Micro 和 CA都表示,他们的CIO的职责中包含了保护企业信息资产安全,实施安全策略等工作。IBM则是由专门负责IT风险的副总裁 Kris Lovejoy承担此类工作。

在解释公司为何缺少专门的CSO 或CISO这个问题时,Trend Micro的 CIO Max Cheng 解释说:“作为一个IT安全产品厂商, Trend Micro理解IT安全的重要性,而 CIO有能力承担此类职责,而且我们还有一个专门的团队[信息安全团队]来负责IT安全。我们不认为单独设置一个这样的头衔会对Trend Micro的 IT安全防御水平有什么促进作用。”

Cheng每天花费三成的时间用于解决IT安全问题,他认为如果从“安抚客户”的角度看,为管理信息安全设置一个专门的职位是有一定帮助的,尤其是在目前这种安全环境下。

香港Jockey Club 公司CIO Sunny Lee在接受邮件采访时表示,他并没有特别关注安全软件厂商是否有专门的CSO这个职位,他认为此类公司应该将信息安全付诸实际。他说:“此类公司应该将信息安全作为公司的首要任务。他们应该成为信息安全方面的榜样。”他认为,关键在于如何减轻安全风险,而是不是有没有某个职位。他说:“如果安全软件厂商没有管理好自己企业的信息安全,不但会将他们的公司推向风险,更会将他们的客户推向风险。”

让高层领导更懂信息安全

McAfee联合Gabriel Consulting Group近日发布了一份针对147个公司的数据中心的相关问题的调查报告。调查揭示出很多有趣的数据,其中目前被关注最多的就是:被调查的IT专家中,六成人表示对他们的领导对所管辖的部门的安全问题并不是很清楚。很明显,领导们觉得他们的安全系统都及时更新了,但事实并非如此。实际上,接受调查的人群中40%认为他们的企业安全措施无法跟上当前网络威胁的趋势。

该研究报告还揭示出一些问题。比如,很多企业所使用的安全产品来自七个或更多的来源。但是大多数人都觉得降低安全产品的数量也不会有什么影响。而对于那些曾经遭到过安全攻击的企业来说,大约70%的企业表示攻击来自外部,但是来自内部的安全攻击造成的损失更大。对于攻击带来的影响问题,大部分企业表示直接影响是合规和法律方面的额外费用,其次是导致生产力下降。大部分企业都有独立的IT安全管理人员或部门,并且有对应的安全策略,但是大多数时候这种安全策略落实的并不彻底。

最后,该调查报告还显示了有关云服务采用率的情况。在被调查企业中,将近80%的企业表示安全问题仍然是他们在选择公共云服务时考虑的最大问题。但是,大部分企业更喜欢采用私有云。60%的企业认为如果采用私有云,安全问题就不是首要担心的问题了。而对于企业是否采用了私有云或公共云这个问题上,IT员工中有一半的人表示不知情,另一半则表示知道。

McAfee发布这份调查报告是毫不稀奇的,因为这正是他们的工作内容。但是,很多IT人可能还是不习惯看到自己的好建议会因为成本或用户的原因而被上层领导否决。也不习惯频繁的帮记性不好的领导重置密码,而领导还可能会直接把密码写在显示器旁边的纸条上。 有几个领导能够搞清楚一个Drupal Web站点的全部安全防护程序,或者面向外网的VPN服务器上的安全设置,或者公司内部无线接入点的安全设置?毫无疑问,在商人眼里,利润与安全策略关系不大。

安全策略集中化

McAfee的报告中并没有给出什么实际的解决方案,但是安全常识的灌输并不会花费多少钱,而且容易实现。在报告中提到的一种解决方案就是安全策略的集中化管理。这是企业安全里至关重要的第一步,任何企业都要确保在涉及到IT安全问题时,必须使用一个独立的称职的团队。企业内部的安全漏洞通常都是由于操作失误造成的,比如系统维护人员的临时管理权限过大,甚至可以为Exchange服务器添加对外开放的端口。或者密码策略过于简单,只是部门间的电脑密码不同,而同一部门中所有电脑的登陆密码都是一样的,并且再也不会修改。

定期交流安全内容

另一个重要的元素,或者说可以帮助解决管理层缺乏安全认知问题的方法,就是交流。如果只是在饮水机边花三分钟解释新的安全策略并请求领导批准,一般是不会成功的。有些IT人员总是能够成功的让高层批准自己的安全方案,是因为他是一个很好的写手,每周都会给领导写邮件详细汇报安全工作内容,就算这个工作是在周末假日里完成的也不会有怨言。比如新的软硬件系统需求,改变安全策略,主要的潜在风险,以及简短的建议列表,这些都是由IT安全维护团队全体共同协商并通过的内容,而不是某个IT安全主管自己想出来的。在这种邮件里,可以同时提供两套备选方案,一套是标准厂商提供的商业产品,另一套可以是花费更低廉的开源产品。

考虑云服务

最后给出的建议是,云服务如果采用得当,可以有效的帮助企业弥补安全漏洞。对于很多小型或中型企业来说,使用如Amazon, Microsoft 360, 或Google Apps这样的公共云服务,所能享受到的数据中心的安全措施,要比企业自己的数据中心所采用的安全措施完善的多。企业所要做的就是管理信息。比如 Google会定期性的发布有关云计算的稿件,帮助企业更好的使用云服务。

当然,作为IT人员你能做的也就是这些了。企业领导必须愿意听取你的意见,并在该花钱的时候愿意花钱。企业员工也要做好自己分内的事儿,比如避免设置过于简单的登录密码或将登录密码写在显示器上,或者不退出登录就离开办公室。其实在降低企业IT风险的问题上,可做的事情还有很多,但都需要通过对员工进行安全培训,以及与领导层沟通安全问题的方式作为开始。