专访前VMware的CIO:什么是顶级数据威胁?(二)

日期: 2013-09-16 翻译:陈德彦 来源:TechTarget中国 英文

作为赛门铁克和VMware公司的前任CIO,Mark Egan已经看到了他分享的数据威胁以及这些威胁如何快速变身。拿云计算和虚拟化来说,几年前,因为安全问题,CIO们畏缩不前。他解释道,没有其他原因,就是因为厂商自己的安全控制措施不成熟——因为客户需要更好的数据安全和隐私。今天,Egan是一家优秀的技术咨询公司——StrataFusion集团(The StrataFusion Group)——的合作伙伴。并且他出版了一本名为“信息安全执行指南”的书。在他的新角色中,他认为他应该做一些工作转换。结果CIO们都要求他先关心一下“小的安全问题”。本文是访谈的第二部分。

  问:公司在它们的安全战略中应包括端点设备,但他们是?

  Mark Egan:自从我在一月份离开VMware以后,我一直接到电话被叫去做大量的安全性工作,而且对这些公司中的许多公司来说,安全性工作在这些公司并不是一个优先事项。他们专注于我怎么帮助我的公司尽可能快地产生新的产品;我如何帮助销售组织提供更好的客户体验。安全性保持一个较低的优先级,直到您遇到某件事情,比如客户事件,但我总是鼓励CIO们找出(他们的业务)在哪里,然后拿出一个长期的工作路线图。作为工作路线图的一部分,您必须确保员工工作的高效和平衡,随着时间的推移,进行合理的控制和合理的增量改进。安全不是一个项目,而是一个计划。

  使用自用设备(BYOD)所面临的挑战是它的多样性。如果我进行规范,并说您仅仅能够使用这个设备,这时员工会说:“哦,这些IT部门的家伙总是阻止我用某些东西。任何很酷的东西,他们都不让我使用。”

  在VMware,我们允许员工带自用设备,并且这些设备也包括各种不同的笔记本电脑和平板电脑环境。您可以使用Mac、Linux或者Windows。我们取得这种平衡,通过加密笔记本电脑以确保我们保持某种安全级别。但员工在终端用户设备和后端系统之间进行通信时,我们适时进行过滤,我们使用双因素认证,而不仅仅是一个密码,而是使用令牌。

  您不希望通过严厉的方式去控制员工离开工作岗位并去做自己的事情。而是通过一套合理的控制措施并结合安全意识培训。

  问:随着大数据的推动以赚钱和创造新的服务,您如何解决在云中和移动设备上移动的所有数据的隐私和安全?

  Mark Egan:作为一名消费者,就我们愿意分享的内容,我们是更宽容的。我有一个Gmail帐户,如果我回过头来看看用户协议,我也许会同意他们可以匿名地使用我的所有信息。我们认为Facebook和谷歌真的很酷,但在他们的业务中用到了我们的行为信息。您愿意为电子邮件支付费用吗?我也许不愿意——或者为像LinkedIn这样的服务支付费用。

  与此相对立的方面(是)您可以做一些简单的事情,比如冻结您的信用卡以防止身份盗窃。作为一名消费者,您可以自由地加密您的笔记本电脑。这些是您应该做的简单的事情。这些事融入了我们的个人生活和工作,真的很让人讨厌。当我开发安全意识培训课程时,我谈到了个人和工作邮件欺诈问题,什么类型的电子邮件帐户并不重要,都可能遭受身份盗窃。但对于主要的方面,比如密码和保护知识产权,您需要有定期的安全意识计划。他们可能不知道未经某些控制而下载某个产品计划到他们的个人笔记本电脑上是不安全的。您的财务的人员可能不知道他们所发送的文件应该进行加密保护。

  但您必须让这些课程有趣、有互动性以及代表性。而不是关于保护知识产权的一次会话,取而代之的是说:“您花费了所有的时间去创造这些令人难以置信的产品,所以您想要保护它们,对不对?”这样的会话吸引了他们的注意,而不是像IT人员告诉我的去修改我的密码。对于销售组织——问问他们,如果他们的某位客户的信息被发布在互联网上或被出售给他们的某位竞争对手,他们是否愿意看到这样的结果。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐