根据安全领导人在新年的困扰和关注领域,Forrester公司为大家提供了一些应对新年安全趋势的安全战略建议,建议主要氛围三个主要议题:1)更好的管理结构;2)更成熟的安全程序;3)提高分析和报告能力。
首席信息安全官:企业新年安全战略建议
制定管理战略
社交网络、移动电话和云技术呼啸而来,为创新和业务转型推波助澜。安全已经不再能够阻止或者抑制这种局面的发展,安全专家是时候降低这些技术带来的相关风险到企业业务可以接受的程度,这意味着安全领导需要这样做:
为社交网络技术部署做好准备 正如某位首席信息安全官所说,社交媒体就像海啸般呼啸而来,如果我们不做好准备,我们将损失惨重。Forrester调查显示,每天访问社交网站的用户出现急剧增长,从2008年的11%增长到2010年的30%。社交媒体技术增加了恶意软件感染以及数据泄漏的风险(包括有意和无意的)。社交网络政策将会出现很大的变化,但是企业除了部署技术控制、程序检查和提高用户意识外,还应该部署管理战略和具体政策来减轻这种风险。
帮助企业制定战略来利用云服务 云计算已经势在必行,所有安全领导需要提高关于数据安全和监管风险的关注,他们也应该试图缓解数据泄漏或者数据事故的风险。
积极支持后PC时代的移动性 随着电子阅读器、智能手机、笔记本和上网本等设备的普及,安全和风险专家必须部署控制战略来控制这个日益混乱的环境,同时保持员工的灵活度和创新。
改善现有程序以加强数据保护能力
2011年,首先信息安全官面对的主要议题就是理解和衡量企业流程的成熟度。随着威胁类型的改变,很多安全专家发现现有程序完全不够或者低效率。很多首席信息安全官正在试图开发更具连贯性和严谨性的监管合规要求以及遵守NIST、ITIL和ISO 27001等标准。虽然更高的成熟度需要所有安全程序的改善,以下是特别需要改善的:
整合工具和流程-从被动到主动 一位安全系统集成商表示他们95%的客户都会选择部署IPS而不是IDS,虽然这种说法并不令人惊讶,却显示了这样一种趋势:安全专家越来越多地意识到一盎司的防御部署可以换来一磅的安全保护效果。企业开始从盲目地部署被动技术转为部署主动防御程序和技术,或者在现有技术中启用主动防御功能。