对于SaaS,您的立场是什么呢?是你意识里所认为的安全的方式吗?不对称风险保险演算如何才能展现出你的公司的安全风险?CIO.com网站的伯纳德·金在安全威胁2012年会上阐述了对于这方面的积极讨论。
上周我有机会在CIO 一个新的安全会议—— 2012安全威胁年会上发言。我提出了一个在云计算中关于平衡商业利益与风险的话题,不过由于这个话题涉及到了一些很广泛的IT相关议题,于是引起了有关商界领袖们正面临的一些棘手的挑战方面的激烈讨论。
我得向会议组织者给出我自己的意见。这个话题不仅有一个有着一群顶尖发言者的出色议程,同时根据他们不同的背景和他们所在公司的高级职务,也给与会者带来了很大的价值。
下面就是我从这个话题中得出来的一些主要议题和观点:
SaaS的进程
几位发言者介绍他们的公司正做出积极的举措去采用SaaS解决方案。在许多情况下,它是由业务部门做出这些决定,几乎不通知IT部门,更不用说安全群组。采用SaaS的动机是你期望的是什么:时间价值,成本效益,避开IT组织。
Justin Kwong,“24小时健身”公司IT运营和安全高级主管,他描述了他的公司的快速增长,随之而来不愿去购买和实施预先的解决方案。有了这样的快速扩张和快速变化的商业机会,“24小时健身”公司就把SaaS看做一个在SMB定价中实现企业功能的的契机。
鉴于Kwong的研究小组不打算执行现场CRM,那他们已经选择了什么侧重点来代替呢?Kwong阐述了他们联邦式身份管理的改变,充分利用Active Directory作为用户群支持SSO的一种方式。通过去除多次登录的需要,这个方式不仅提高了用户满意度,同时也保证了一个集中的变化,那就是某位雇员一旦离开公司,就可以从所有的SaaS应用程序中移除登录权限。因此,可以说Kwong的研究小组正致力于中心基础设施建设,以支持SaaS前瞻性战略。而且你可以得出这样的结论:这样的举措会发生在SMB 市场领域内,Gene Fredrickson,一家常年财富500强企业Tyco的首席信息安全官,就表示说,他的公司也支持用户主导的SaaS前瞻性战略。
那么,怎样才能在公司内安全形成各种SaaS举措的认识呢?Chet Loveland,,一家包装解决方案公司MeadWestvaco的全球信息安全和隐私官,总结了他的策略是“有朋友在其他地方。” 通过培养和员工在人力资源和采购方面的关系,Loveland可以通过公司的小道消息了解SaaS的决策。因此,他自己可以参与SaaS举措的实施,并帮助确保与供应商的合同是公司的关键项目。
你的外围保护是瑞士奶酪
在一个专门讨论不断变化的安全威胁会议上,许多主持人认为使数据中心的外围保护变得强硬的传统战略已经过时。他们解释说,外部威胁几乎肯定可以穿透你的防御,并建立持久的可以随意偷走你的文件的软件代理。这些所谓的先进持续威胁(APT),一般都有犯罪企业和外国的赞助。
Larry Clinton,互联网安全联盟的首席执行官,对于APTS就有过一段发人深省的谈话,并且特别强调的指出这种威胁,对任何一个公司来说都是威胁。此外,大多数公司都没有对这种威胁做更多(保护)。在最近的一项调查中,只有16%的受访者表示,他们的公司正在采取措施,以减轻APTS这种威胁。
Clinton建议,安全措施应该从公司内部技术/业务讨论转移到对经济/战略的关注。从本质上讲,他归咎于在安全方面缺乏投资是对于风险的错误认识。从这个道理上来说,这不是在保护系统。相反,它是在保护企业本身,包括公司的每一个部门,从财务到法律,从人力资源到IT。
“24小时健身”公司的Kwong也讨论了外围保护的问题,他根据一个老笑话提出了一个提策略:当一只熊破坏了帐篷,里面的野营者却坐下来系他的跑鞋鞋带。“你为什么这样做呢?” 他的野营同胞问到。“你可能无法逃脱熊的威胁。” 第一个野营者回应到,“我不需要逃脱熊的威胁,我只需要让你逃脱。”
所以,他要说的是公司应该考虑在安全方面的投资战略,让破坏并进入系统变得足够困难,这样熊(对不起,黑客)就会成为较慢(也就是更容易)的打击目标。
对于APTS的讨论使人不安。我的感觉是,风险是真实存在的,就目前的安全威胁,谁也没有真正好的解决方案。这也带我到了下一个观点。
Clinton and Kamil Farshchi,Visa高级战略的业务领导者,正在规划并采取措施,解决这一安全难题以平衡商机带来的风险。另一种方法也是IT安全的现行做法,就是创建一个不对称风险的情况:财务效益倡议归为业务单元,而风险责任则归为安全群组。正如我们在过去二十年的经济中多次看到的,让一组实现利益,同时将与其他费用几乎都去保证风险的措施将被淡化,过于激进的举措将被追求。不对称风险的布局是相当危险的,它创建了一个环境,在其中一组假设别人要解决这个问题可以忽略危险信号。
会议结束后,一篇博客文章就评论了一家叫做Markel的保险公司的首席信息官的讲话,提醒了我相关的风险与利益的重要性。Markel为异常状况进行保险,比如长途夏令营,从最近的医疗设施到主要的青少年管理都进行保险。CIO汤姆·盖纳解释说,根据其对于承保的洞察力以及长期、定性经验,公司可以赢利并确保这些种种的努力,基本上,个别情况Markel采用了如此鲜明的“大数定律”的承保方式,而典型的最保险的做法是行不通的。
博客作者的结论是,对于IT安全专业人员来说相同类型的定性判断是必要的,但必须与客观定量的措施去的平衡。所以记录以及分析是至关重要的,但做出什么样的决定,还得看天生的经验和知识。我认为这在很大程度上是正确的,但我还有更大的教训是,任何情况下,涉及不对称风险也预示着不良的长期结果。Markel通过绑定承销过程到联系紧密的定价来处理这个情况,从而确保每一个决定都能达到一个平衡。
说到网络保险,它突出对保险公司的风险,希望减少公司的风险安全漏洞的解决方案?另一个在会议上的与会者,他是一个大型的国际律师事务所的律师,最近就给出了这一网络研讨会上的主题。他的总结是:它并没有真的在一个合理的价格上。这似乎表明他对保险公司风险不对称的弊端是相当的了解。
云计算:仍处于起步阶段
正如我所说,我在安全威胁会议上的演讲是有关于在云计算领域平衡商业利益和相关风险的话题。我的主题包含有三个风险,但传统的安全方法只有一个准备。这个传统的思维下的准备如下,“让我们使用安全的产品和做法来应对黑客的恶意攻击。” 长远来说,这个没有错,但它不能解决两个未来的安全挑战。
第二个风险是我所指出的“ cloud boomerang。“ 在这个博客中,我已经几次提到几次博客IT应用最终被交付的IT经营或实现自己的业务专长的开发轮胎属于什么必要的运行生产应用程序时,它指的是阴影的可能性。在这里是一个YouTube视频,我把共同的话题。
云回对于IT小组来说,特别是对安全组来说有着非常现实的前景。适当的安全措施往往在这些类型的应用程序中被绕过或忽略,有时由于灵活性的要求,有时这些措施就是纯粹的无知。我在会上的谈话中,就建议准备一份适当的安全措施清单,从最初的接管到最后减轻问题,并且实施一套一致的安全的做法。
第三个威胁是安全措施仍然植根于过时的对于计算规模和增长的假设。正如我已经很多次讨论过的,计算的未来将有着比我们历史上经历的大几个订单的更大的幅度。不承认这种转变,同时保持缓慢的部署和少数他们可以通过手动流程处理的应用而设计的做法,是一种想象力的失败。如果安全组织不思考这个更大、更快的未来, IT基础设施将会有巨大的被破坏的风险。
我承认观众对我的演讲反应平淡。也许我提交的材料不佳,未能打动与会者。但我也归咎于缺乏直接参与的事实,大多数安全从业人员仍然无法真正意识到在云计算方面发生了什么事情。虽然我们的公司看到了许多云计算应用的实例,并了解他们的影响,但许多安全组织采用云计算的步伐似乎还是那么的不熟悉。这其实是可以理解的:在我的演讲中,我引用了Forrester网站的一份评估报告,其中就指出five out of six云端部署的发生没借助任何有关于IT部分的知识---- 他们是真正的影子IT。我预计在未来18个月,专门的安全组织和普通的IT组织,才会如梦初醒,开始去抓住这一新出现的现实,就像淘金的新兴城市一般----建设迅速,警力不良,容易出现混乱,但也是巨大财富的来源。我相信未来的18个月将成为IT历史上最有趣的一个阶段。
(责任编辑:)