2008安全管理：孕育着什么

发布时间：2008年12月09日点击数： 作者：迈克.诺斯曼 来源：ITGOV

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

　　It'sonceagainthattimeofyearthatmarksthe"sillyseason"oftechnologyprognostications.Everyoneoftenlikestopretendtheyknowexactlywhattheyeartocomewillbring,butalas,fewofusareeverrightonthemoney.Butthatwon'tdetermefromprovidingsomeviewpointsonwhatsecuritymanagersshouldexpectin2008.

　　现在又是每年缺乏关于技术预测的时间了。每个人常常喜欢假装他们准确知道未来的一年将带来些什么。但是，我们中的很少一部分人能做到完美至极。然而这不会阻止我提供一些关于安全经理将在2008年预期什么的观点。

　　Beforewediveintothefuture,let'stakeafewminutesandexaminethepastyear.Securitymanagementin2007waspreoccupiedwithcompliance,specificallyPCIDSS.Butthatmakessense,giventhatalmosteverycompanyacceptscreditcardsinsomeway,shapeorformandthusisonthehookforPCIcompliance.

　　在我们探讨未来之前,我们先花几分钟对过去的一年进行回顾。在2007年安全管理关注于合规，特别是支付卡行业数据安全标准(PCIDSS)。但有意义的是，几乎所有每个以某种方式接受信用卡的公司，无论是形状或者形式，都符合支付卡行业标准合规。

　　Thesadtruthisthatcomplianceisstilltheenginethatisrunningmostsecurityoperations.Asmybrothersays,"noesbueno"(是不好的)orthat'snogood.Weassecurityprofessionalsstillstruggletoshowvaluetotherestoftheorganization.Noonearguesthatpreventingamajorbreachaddsvalue,buthowmuchvalue?Isthatinsyncwiththeamountofmoneyinvestedinsecurity?Theseareimportantquestionstoanswer.

　　可悲的事实是合规仍然是正在运行绝大部分安全操作的引擎。如同我的伙伴说那个是没有用处。作为安全专业人员的我们，依然为显示组织其余的价值而努力。没有任何人争辩预防一个主要缺陷能增加价值，但是增加多少价值呢？是把大量的资金同时投入到安全管理中吗？这些都是需要回答的重要问题。

　　Aswefocuson2008,thefirstorderofbusinessforsecurityprofessionalsshouldbeimplementingastructuredsecurityprogramthatisfocusedonprotectingwhat'smostimportanttothebusiness,settinggoalsandmilestonestoensureaccountabilityandcommunicatinghowandwhycertainsecuritycontrolsareimplemented.Theendgoalistodistinctlyshowthevalueandimportanceofsecuritytotheoperationsofthebusiness.

　　当我们关注于2008时，首先为了行业的正常安全秩序，专业人员将执行一套结构化的安全程序，聚焦于保护行业中最重要的安全、确信负责地设定目标和里程碑，传达怎样和为什么执行确定的安全控制手段。最终目标是清晰地展示安全对商业运作的价值和重要性。

　　Unfortunately,vendorsarenotgoingtobehelpingintermsofmakingthelifeofasecurityprofessionaleasier.That'sright,don'thangupyourtoolbeltorducttapequiteyet;2008willbringalotmoreintegrationofdisparatetoolstotrytomakesenseofwhatisactuallyhappening.Securityinformationandeventmanagement(SIEM)willcontinuetodisappointasmostofthevendorsinthatspacewillspend2008givingtheirproductsbraintransplantstoseemmorelikelogmanagementofferings.

　　不幸的是，销售商不会轻易得到安全专业人员的日常帮助。那么，不要收起你的工具包；2008年将带来更多的全新的综合性工具来试图了解正在发生什么。当大多数那个领域销售商花费2008给他们产品大脑移植更多类似日志管理时，安全信息和事件管理(SIEM)将继续使人失望。

　　ManyorganizationswillplayaroundwithSaaS,tryingtofigureoutwhichsecuritymanagementtaskscanbedonemoreeffectivelybysomeoneelse.Thisisagoodthing,sinceinternalsecuritygroupsdon'tgetalotofleveragefromdoingthingsliketuningspamgatewaysormonitoringIPSlogs.Butthekeyistocreateanintegratedandtransparentworkflowthatgivesinternalresourcesthe"master"viewofwhat'shappening,whileeffectivelysourcingtheoperationaltacticstothemostcost-effectiveprovider.

　　很多组织将致力于“软件即服务”(SaaS),尝试发现哪一个安全管理任务能被其他什么人更有效地完成。既然内部安全组没有从做像调谐垃圾邮件网关或监视IPS（IntrusionPreventionSystem,入侵防御系统）日志这类事情中获得许多影响，那么是一个好事。但是关键是在有效地提供可用的战术给最节省成本的提供者的同时，建立一个完整的、明晰的工作流程给内部资源以“主人公”的观点来了解发生了什么

　　Complianceisnotgoingawayin2008.I'vecertainlybeenhopingthatsecurityprofessionalswillfocusonsecurity,asopposedtocompliance,butultimatelytheneedtocomplywithvariousregulationsstilldrivesITspendingandthusisasignificantfundingsourceforwhatinfosecprosneedtobeaccomplishmentandimplementinthecomingyear.

　　合规不会在2008年消失。我一直的确希望安全专业人员相对于合规更关注安全，然而最终需要遵守各种规则管理IT开支，在即将到来的一年中，对于信息安全完成和执行工作需要的开支来说，是一个重要的资金来源。