一些企業(yè)往往在隨意安裝所有技術(shù)性防御的時(shí)候無(wú)形中擴(kuò)大了安全漏洞，這是為什么呢？

這是一項(xiàng)所有IT安全從業(yè)人員都在做的為時(shí)已晚的調(diào)查：企業(yè)都過(guò)于癡迷法規(guī)遵從，他們隨意將一些安全技術(shù)放在需要執(zhí)行的列表中，這種做法恰巧增加了企業(yè)的風(fēng)險(xiǎn)。

總部位于加拿大安大略省CISO和安全顧問(wèn)James Arlen對(duì)此發(fā)表了看法并給人們提出了一些建議。以下是外網(wǎng)的采訪記錄。

問(wèn)：近幾年關(guān)于安全的問(wèn)題討論得不少，但是作為一個(gè)CISO，你最關(guān)心的技術(shù)問(wèn)題是什么？

答：我們需要更加關(guān)注安全技術(shù)實(shí)施的質(zhì)量。僅僅將東西買(mǎi)來(lái)，靜靜地等待這項(xiàng)技術(shù)“死去”是不夠的。如果你能夠讓你所需要采購(gòu)的東西符合一系列的標(biāo)準(zhǔn)和法規(guī)并保證其一一通過(guò)公司的批準(zhǔn)，當(dāng)然很了不起，但是你能保證你建議采購(gòu)的這些東西的價(jià)值嗎？

問(wèn)：你是否也看到了這些情況的存在？

答：在很多情況下，由于執(zhí)行和實(shí)施的問(wèn)題，使用的價(jià)值確實(shí)無(wú)法確保。你購(gòu)買(mǎi)了這些東西，并讓它們開(kāi)始運(yùn)作，紅燈閃爍，發(fā)出運(yùn)作的聲音。但是它們也許對(duì)你來(lái)說(shuō)沒(méi)有任何用處。你所做的對(duì)風(fēng)險(xiǎn)降低沒(méi)有任何幫助。我們需要找到一些能更快做得更好的方式。

問(wèn)：可否舉個(gè)例子告訴我們，在你的業(yè)務(wù)生涯中，你在哪里看到了這種問(wèn)題。

答：在我漫長(zhǎng)的安全顧問(wèn)職業(yè)生涯中，我?guī)缀蹩偰芸吹竭@些現(xiàn)象的存在。你會(huì)看到，在部署防火墻的時(shí)候，需要進(jìn)行大量長(zhǎng)時(shí)間的規(guī)則設(shè)置以及各種各樣的努力。但是，不久你就不得不面對(duì)最基礎(chǔ)的規(guī)則設(shè)置，發(fā)現(xiàn)事先進(jìn)行繁冗的規(guī)則設(shè)置可以讓測(cè)試變得更簡(jiǎn)單，或者可讓它們更快地投入到公司業(yè)務(wù)中。

不幸中的萬(wàn)幸是，當(dāng)你成為一名安全運(yùn)營(yíng)人員的時(shí)候，你會(huì)對(duì)更多的人進(jìn)行培訓(xùn)，因?yàn)榘踩袠I(yè)是個(gè)變化很快的行業(yè)——快節(jié)奏也意味著“高營(yíng)業(yè)額”。有些設(shè)備你不得不擱置下來(lái)，因?yàn)槟銢](méi)有這方面的專業(yè)人才。

問(wèn)：通過(guò)對(duì)廣大人群的培訓(xùn)，這些問(wèn)題可以緩解嗎？

答：在你還沒(méi)有到執(zhí)行那一步的時(shí)候，培訓(xùn)的費(fèi)用不可以放進(jìn)預(yù)算中。培訓(xùn)費(fèi)用按理說(shuō)應(yīng)該來(lái)自于你日常的運(yùn)營(yíng)預(yù)算，實(shí)際上你并沒(méi)有這部分培訓(xùn)費(fèi)用。你根本負(fù)擔(dān)不起送一個(gè)人到某個(gè)地方進(jìn)行數(shù)周培訓(xùn)的經(jīng)費(fèi)，當(dāng)你想雇一個(gè)有這方面能力的人時(shí)你就會(huì)產(chǎn)生這樣一個(gè)念頭：你希望你可以雇傭這種技能。最后你必定面臨“雇傭還是解雇？”這樣一個(gè)對(duì)企業(yè)安全沒(méi)有任何用處的問(wèn)題上。你最后不得不掄起手中的“錘子”砸向那些需要加以重?fù)舻?ldquo;釘子”，沒(méi)人知道誰(shuí)最后會(huì)成為這枚“釘子”。

問(wèn)：最近國(guó)外一項(xiàng)調(diào)查中，企業(yè)告訴記者，他們近幾年已經(jīng)花費(fèi)了幾千美元的經(jīng)費(fèi)來(lái)支持他們的IT安全系統(tǒng)。但是有些已經(jīng)開(kāi)始反思是否值得這樣做。

答：這就涉及到了我這么多年來(lái)一直設(shè)法讓人們理解的一個(gè)觀點(diǎn)：你不一定被兼容，但你要在一開(kāi)始做到“兼容”。你不想符合具體哪項(xiàng)制度。而應(yīng)該符合所有制度的“超級(jí)集合體”。最佳的做法是擁有必要的開(kāi)明的欲望并且用來(lái)做正確的事情。

最后我們發(fā)現(xiàn)，安全花費(fèi)與季度業(yè)績(jī)和股東價(jià)值有著不可分割的關(guān)系，因?yàn)榈阶詈笠惶欤踩M(fèi)其實(shí)只是另一種保證金。