未来的首席安全官分析:分散IT是首要关注

日期: 2012-11-21 作者:Scott Lowe翻译:童秋燕 来源:TechTarget中国 英文

虽然很多中级市场和SMB组织还没有完全致力于信息安全的角色,但是时机可能已经到了。IT组织如今正面临重要的抉择,而且随着组织需要面对的法规要求更加繁重,这种工作的必要性正在迅速地增长。由于组织利用新趋势和机会扩大业务范围,比如“携带自己的设备”和云服务,对安全专家的需求也将非常高。   以下是首席安全官(CSO)在2020年可能的情况。

  首席安全官的需求   当今的技术环境就像野火一样蔓延。连接到多个不同的网络被视为平常事,而且组织在他们部署的工具的数量和他们支持的应用程序的数目都在不断增长。更重要的是智能手机真的就是电脑以至于职员走到哪里就把它们带到哪里,不论是去开会、老板的办公室、看电……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

虽然很多中级市场和SMB组织还没有完全致力于信息安全的角色,但是时机可能已经到了。IT组织如今正面临重要的抉择,而且随着组织需要面对的法规要求更加繁重,这种工作的必要性正在迅速地增长。由于组织利用新趋势和机会扩大业务范围,比如“携带自己的设备”和云服务,对安全专家的需求也将非常高。

  以下是首席安全官(CSO)在2020年可能的情况。

  首席安全官的需求

  当今的技术环境就像野火一样蔓延。连接到多个不同的网络被视为平常事,而且组织在他们部署的工具的数量和他们支持的应用程序的数目都在不断增长。更重要的是智能手机真的就是电脑以至于职员走到哪里就把它们带到哪里,不论是去开会、老板的办公室、看电影、午餐或竞争对手的办公室。这是可以被用于好的方面的技术——或者是用于邪恶的方面。

  到2020年,组织将采用多种云服务,携带自己的设备(BYOD)将成为一种生活方式,首席安全官将需要准确理解如何把所有的东西都融合在一起。今天,组织已经挣扎于BYOD及其对安全的影响;到2020年,几乎所有的员工将拥有智能手机和平板电脑,以及具有2020年特色的移动设备。

  还有更多的问题需要考虑。到2020年,云服务将无缝整合到现有的IT环境里。在许多情况下我看到云成为另一个服务层,但会有很多弯道进入到环境中,每一个弯道将是一个潜在的安全风险。而且,随着更多的云服务进入组织,CSO们必须为购买决策一部分的每一中服务审查每个供应商的安全状况。

  简而言之,2020年的首席安全官(CSO)将面临大量分散的环境,需要对多个领域的关注。

  对首席安全官职位的两个见解

  也许令安全专业人士失望的是,到2020年首席安全官仍然不会被认为是管理团队的正式成员。虽然信息和组织的安全对一个组织非常重要,但是整个安全范式应该属于现有的风险管理系统。但是CSO们将给管理团队和董事会提供定期报告,特别是在信息安全的重要性增加的时候。

  我认为今天常见的业务结构从现在到2020年不会使其有太多的改变,但是随着越来越多的组织雇佣CSO,现有的两个结构将会加强。

  在一种情形下,CSO直接向CIO进行汇报,甚至可能有点脱离正式的IT组织图的一方,便于与“正式”的IT人员保持分离。CSO定期向CIO简要介绍潜在的安全问题并且与IT人员一起工作,确保任何确定的安全问题尽快得到解决。情况理想的话,CSO必须在可能有安全影响的项目上签字,包括新的系统和应用程序部署。CSO还负责执行常规的渗透测试,通常还要负责验证已经被实施的安全系统工作良好。不利的一面是有些人可能把IT看作是控制安全以及控制报告的元素。

  另一方面,一些组织要求CSO对组织的主要风险管理官员有一个虚线(编者注:在外资企业的组织结构图中(organization chart),有时一个职位上面会出现两个甚至两个以上的manager,其中有一个是直接经理,他和该职位之间用实线(solid line)连接,其他经理则用虚线(dotted line)连接.和solid-line manager之间是行政关系,和dotted-line manager 之间主要是业务关系并经常变化. 该职位必须直接报告给solid-line manager,并同时抄送dotted-line manager.)来维持有效的制衡。这个结构直接将CSO置于首席风险管理官的领域之内。在这里,CSO对CIO来说是一个外部代理,而不是内部资源,而且CSO对CIO可能有也可能没有一个虚线。责任是相似的,但CSO可能在某些IT计划和服务上有更多的否决权。

  这是今天发生的一个点,但到2020年,我认为CSO的作用是帮助组织保护他们自己。在绝大多数情况下,做出的决策对组织可能有消极的安全影响。到2020年,我们将看到更多的组织充分资助CSO这个职位,当谈到服务收购的时候这些CSO们将拥有重要的权力。虽然他们将不会完全自主,但在组织可以同意新的服务合同和服务活动之前他们的签字是必需的。

  今天,尽管许多组织尚未聘佣CSO,我们看到这个职位在一些组织里已经添加到了工资总支出当中。到2020年,CSO将成为一个必需的职位,无论是由于复杂性还是法规。今天逐渐扎根的这些结构和职责会随着安全功能的光度和深度的扩大以及技术环境的扩张而迅速增长。

作者

Scott Lowe
Scott Lowe

Scott Lowe是ePlus Technology公司的高级工程师。他拥有广泛的经验,尤其是在存储区域网络、服务器虚拟化、目录服务和互操作性这样的企业技术方面。

相关推荐