安全、合规、IT运营面临的5大主要挑战

本文讲的是安全、合规、IT运营面临的5大主要挑战,鉴于如今不断进化的威胁态势,公司企业希望采取积极主动的威胁应对方式,创建持续合规的环境,拥有响应良好的IT运营过程,是无可厚非的。谁不想减小风险暴露面和攻击界面?谁不想能检测并响应高级威胁?谁不想降低安全运营开销?

现实却是:各种各样的压力阻碍着公司企业实现这些目标,而且这些压力还不会很快消失。多家商业及公共机构的安全实践负责人和高管,就最优化安全及合规项目,综合出了5条必须应对的挑战。

挑战 #1:数据泄露那为人所知的影响

看起来无穷无尽不断登上新闻头条的数据泄露事件,让公司企业,包括高管和董事管理层,都意识到了安全的重要性,也感受到了可能成为下一个受害者的恐惧。

去年,《Tripwire》调查中82%的受访者认为自家公司会遭遇数据泄露。ISACA和RSA的联合调查也表明,78%的董事会如今对计算机安全十分在意。

这种高度关注,部分是由于计算机犯罪造成的损失。据美国战略与国际问题研究中心估计,计算机犯罪每年造成的损失高达4450亿美元。很不幸,随着公司企业处理和存储更多的信息,随着网络犯罪愈加流行且影响越来越大,这个数字也会水涨船高。

网络犯罪在频度、影响和复杂性上持续升级,公司企业无论规模和产业,均受其威胁。一起数据泄露或网络入侵事件,就可以致使公司企业损失客户、利润和信誉,遭遇运营持续性的伤害和数据完整性质疑。对某些公司而言,这些损失的程度可以从惨痛到完全不可恢复。

挑战 #2:技术缺口

引发数据泄露损失上升的驱动因素之一,就是持续升温的信息安全技术缺口问题。

上文提及的ISACA/RSA调查中,52.44%的受访者觉得自家公司员工中只有不到1/4是称职的。这些受访者同时指出,安全实践者理解业务的能力是最大的技术缺口。

该问题给公司企业带来了很严重的风险。如果安全实践者不能完全理解他们业务的本质,安全和业务负责人就无法看清每个资产在支持公司使命方面所起的作用。这意味着他们领会不到保护每个资产的相关业务重要性,而这将会影响到他们减少威胁缓解风险的能力。

而且,尽管业务纯熟的专业人士如今或许炙手可热,也掩盖不了信息安全从业者人数不足这个简单而残酷的事实。2014年的一项调查估测,全球安全专业人士岗位需求425万个,但只有225万名从业者活跃在这一领域。

技术缺口还给公司企业带来了双重风险。不仅仅是信息安全从业者短缺,有经验的管理人才更是稀缺。只要还想撑住自己的数据安全,公司企业必须直面招聘和技术缺口的挑战。

挑战 #3:终端爆炸式增长

很久以前,网络设计者仔细思考过以太网连上烤箱的前景。在当时,这只能是个笑谈,但如今,技术已经证明或者即将表明,所有事物都可以通过网络来连接、访问、提供服务,或者加以控制。联网设备及资产的大爆炸,引入了增量扩张问题,让大多数早期安全和合规模型及预测难堪重任。当前比以往任何时候都需要有经验的安全人士来护卫现代IT环境中五花八门的大量终端设备,而且未来这些设备还会只多不少。

这与1992年IT从业人士可以用杀毒软件抵御大多数数字威胁的情况不是一个级别的。但根据思科的报告,如今大约有229亿台终端运行在企业网络中,到2020年该数字还会翻个倍。要保护如此之多的设备,安全运营开销和公司企业确保每台设备合乎行业标准的投入,自然也会随之直线上升。

挑战 #4:数字-物理融合

终端数量在所有经济领域增殖,包括金融服务、零售、饮食、工业、电力、油/气、汽车、运输和公用事业公司。这些公司有责任维护关键国家基础设施,比如运输系统、电站和电力输送系统、耐用消费品,以及食品生产、加工和配送设施。也就是说,对他们终端的任何威胁,都有可能摧毁经济或造成破坏,包括对市民的物理伤害。

如果一家工业公司意识到工业控制系统(ICS)中存在漏洞,他们将会应用对策,进行硬件修复,确保在进行进一步动作前没有软件冲突。这是因为ICS里的硬件问题是十分重大的,会在高度优化和有限容错的生产体系中造成断电、减少工业输出和其他不良下游效应。

同时,企业还极关注隐私,有一套规则限制非特权用户访问信息。他们的信息安全项目大多用在了防范数据泄露的信息保密性上。

IT和OT曾经是分离的,但在物联网(IoT)和工业物联网(IIoT)背景下,我们开始见证企业和工业团队共同合作,无缝衔接服务的融合景象。我们有充分的理由认定,这俩在关键基础设施防护上也应结成良好同盟。

展望未来,为锻造建设性伙伴关系,在平衡优先级和探索安全利用方式的时候,公司企业需要将IT、IoT/IIoT中的所有系统和终端纳入考虑。

挑战 #5:飞速发展的安全和技术

如数字-物理融合所揭示的,威胁并不是均匀分布的。各家公司之间安全的形式和维度都不相同。这意味着“安全工具箱”式的解决方案或许是应对的一部分,但绝不是保持系统和数据安全的完整答案。

安全必须进化才能应对当今复杂的威胁态势。去年、前年的解决方案,需要相对于其当前的价值主张进行重新评估。其中一些技术和厂商伙伴关系会持续推进到未来,并有价值主张上的改善。其他则不会那么好运,若想继续生存下去提供价值,就需要作出极大的改变和适应。在提供商领域,我们目前正在见证沧海桑田般的转变:领域内老牌提供商已丧失了领头羊地位,新提供商顶替了他们的位置。无论如何,解决方案需要适应企业当前和未来的需要。总的来说,安全解决方案需要让公司企业更方便地相互共享威胁情报。

当然,这些改变会让公司企业难以在安全方面进行投入。毕竟,引导所有这些各不相同的数据包和配置选项,是件令人头疼的事。

因此,公司企业需要理清自身在安全上的具体需求,要识别出最需要保护的关键资产,找出搞定安全需求所必需的技术、人手和其他资源。

一个重要,或者说必不可少的基准点,是安全框架。大多数公司企业都需要采纳一个,就像所有商业和公共机构都遵守标准财务报告框架和协议一样。NIST、Gartner的PPDR、CIAS、ISO27001之类的公开安全框架都有效。框架一旦选定,根据公司及其所属商业生态系统的具体需求进行校准和调整便是必不可少的。所选框架的采纳应用,需要良好的计划、强力的投入(或许还有资金的重分配)、靠得住的合作伙伴、执行,以及时间。

结论

或许各人想法有异,但这5个挑战不会很快消失。公司企业需要将这些因素纳入考虑,拿出一个向前看的方案。他们需要准备好管理和缓解不断升级的安全,顺应这些趋势带来的运行风险。这一过程应该包括:

按基于风险的定位,准确评估公司IT、IoT/IIoT相关需求;
采纳并应用合适的基于标准的框架;
创建或调整自身安全及合规架构;
选择战略供应商/合作伙伴,他们的技术能力、战略愿景和商业活力要能支持你的架构,核心能力要能解决这些趋势带给公司的挑战;
根据业务风险优先级发展和阶段性实现及部署安全合规计划;
实现或扩展持续性监测、响应及校验项目。
最后,有鉴于这些趋势,每家公司企业都需要扩展对于手头任务规模和复杂性的认知。这一认知会拓宽安全项目的范围,使之容纳进整体环境及用以缓解所面临风险的长期计划。

采取务实的积极的方法态度对待网络安全和合规,是当前重中之重。

时间: 2024-10-03 22:06:02

安全、合规、IT运营面临的5大主要挑战的相关文章

揭示:中国CIO群体面临的十大核心挑战[3]

服务外包提升CIO应对能力 对中国CIO重点关注问题的调研发现,http://www.aliyun.com/zixun/aggregation/14307.html">服务产品化被用户广泛接受,接受程度达到90%以上,但是,用户对服务产品化对于规范IT服务管理的价值并没有充分认识到,对其重要性认识不足. 中国经济每年以10%左右速度快速增长,以企业为主体的中国企业也在经历快速发展阶段,在近三十年时间,很多企业由小变大,业务由单向转变为多元,由本土转向全球,中国企业的管理变得多变和不断创新,

Cooley LLP合伙人张扬:行业并购中的合规风险

投资畿朿日消息,在清科集团举办的‿013中国股权投资与并购年会"上,图为Cooley LLP合伙人张扬〿/p> 以下为现场实录: 我演讲的题目是从葛兰素的风格看行业并购中的合规风险,在演讲之前简单介绍一下科律律师事务所,我们是在美国总部硅谷的一家有700名律师的事务所.科律正好反映了我们事务所的特性,代表很多高科技的公司,我们的客户群主要是有风险基金.高增长型公司,还有其他成熟的公司〿p> 这些是我们在美国获得的排名,值得一提的是,我们在生命科学方面有非常丰富的经验,代表着650家生

DockOne微信分享(七十):浅谈Docker安全合规建设

本文讲的是DockOne微信分享(七十):浅谈Docker安全合规建设[编者的话]通过阅读网上帖子及浏览相关信息,大家可能会产生一种错觉:Docker安全性不足,对Docker导入生产环境持保守态度.不过实际情况是,虽然我们需要对容器的安全性高度关注,但只要使用得当,完全可以成为一种不低于使用虚拟机或者裸机的安全.高效生产系统. 今天和大家聊聊Docker的安全合规建设. 安全,这里我们指的是信息安全,包括数据安全和网络安全,主要是数据在处理.传输.存储等过程中的安全,它包括了信息本身的安全和防

降低大数据合规风险的三个要点

由于大数据众所周知,数据的数量和复杂性已大大增加,这与事务记录系统(SOR)的时代已不可同日而语.来自新数据源的这些新型数据,加上企业组织将数据变成其他信息的种种方式,给隐私.安全和妥善保管方面的合规实践带来了独特的挑战. 律师迈克尔·R·奥弗列(Michael R. Overly)早在2015年2月份在<CSO>杂志上的一篇文章中写道:"大数据合规方面的挑战,加上这越来越多的一堆乱糟糟的法律.监管.标准和合同义务,让人不知所措."奥弗列是富理达律师事务所(Foley &a

捕获合规需求的模式化方法简介

这是一个基于模式的新框架, 它通过业务流程的充分自动化和持续审计,来捕获并管理业务流程的合规需求. 在现如今以IT为中心的业务环境中,对法规.法律和其命令的合规性管理已成为成功的关键.指令几乎控制着业务经营的各 个方面,要求组织为监管机构.利益相关者.客户和业务合作伙伴提供保证.1.保证整个企业的合规性迫切需要一个整体的 .易实施的.自律的方法,用它来定义一个完整.一致的流程和系统层的内部控制集.内部控制尤其应帮助组织达成它的目 标,这些目标涉及有效和高效运营.可靠的对内和对外报告,并遵从适用的

企业云安全的合规要求和应对建议

企业在使用云计算的过程中,面临很大的一个安全方面的问题就是需要应对各级主管部门的合规要求,本文将对企业云计算的合规要求和应 对方法进行详细介绍.企业云计算的合规总体需求企业将其业务从传统数据中心迁移至 云计算数据中心的选择将使其面临新的安全挑战,其中最重要的挑战之一即遵从 众多监管条例对交付.度量和通信的合规约束.云计算服务用户和供应商需要理解和掌握当前合规和审核标准.过程和实践的区别和意义.云计算分布式和虚拟化的特性需要基于具体化的信息和过程实体进行重大的框架调整.集中化和统一化的管理平台使云

金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据

[金融行业安全动态]只剩4个月,P2P网贷企业信息安全未合规将被取缔 概要:12月8日,银监会P2P网络借贷风险专项整治工作领导小组办公室发布<小额贷款公司网络小额贷款业务风险专项整治实施方案>,旨在通过专项整治,严格网络小额贷款资质审批,规范网络小额贷款经营行为,严厉打击和取缔非法经营网络小额贷款的机构.在专项整治进度上,<方案>要求2018年1月底前完成摸底排查,并在3月底前,对排查结果分成合规类.整改类.取缔类三类分类处置.对确认符合资质要求.依法合规开展业务的纳入合规类机构

Exchange 2013技术亮点之企业信息的安全与合规

  Exchange 2013 将允许您保护业务沟通内容和敏感信息,并满足企业内部的监管规范和外部监管机构的相关条例,从而保持企业组织的信息安全无损. 企业所面临的挑战: 随着企业信息化建设的不断发展,信息技术应用越来越广泛,电子邮件已成为企业以及个人之间沟通联络的重要方式.对于企业来说电子邮件中存储着大量的商业信息,这就增加了意外分发和未经授权访问敏感信息的风险.面对着保护客户和员工个人信息不断增加的法律法规,这一问题对于大多企业已变得尤其严峻.为了帮助企业更好地控制通过电子邮件分发的信息,现

企业如何实现自动化的IT安全合规管理

前言 目前对于所有公司而言,掌控IT安全风险和法规遵守要求是两件至关重要的事情.在过去的十年中出现了大量前所未有的安全泄漏事故,对公司信息的完整性造成了严重破坏,并导致大量财务和业务的损失,同时让客户.合作伙伴和利益相关者丧失对公司的信心.这些泄漏事故也让人们开始建立技术标准.IT管理框架,并制定了旨在改善加强安全的法律,这也使企业在更有效地定义.控制和管理他们的IT基础设施方面的压力更加大了. 本文将讨论公司面临的新挑战,并将SaaS(以安全作为服务)作为简化安全和合规的方法以解决以下问题: