根據安全巨人McAfee公司上周發布的關于新風險及規則遵從的調查發現，規則的要求持續地驅動著IT技術上新的投資。

　　對353位涵蓋IT決策者、咨詢顧問和安全分析師的調查發現，盡管公司沒有把安全和規則遵從聯系起來，但通常情況下，CISO和IT指導者必須通過把IT安全項目和合規需要聯系起來以證明其合理性。受訪者表示大約25%的時間，規則是啟動新IT項目的原因。

　　名為“2011年風險和規則展望”的調查于上星期三發布，該調查由McAfee公司委托Evalueserve公司在去年12月實施。

　　調查要求受訪者對他們認為滿足合規要求最具挑戰性的技術領域進行排名。受訪者認為保護數據庫的要求是最具挑戰性的。幾乎所有被調查的公司（大約為93%）表明他們已經或者正打算部署數據庫活動監控工具。網絡安全要求排名第二，隨后是應用安全。

　　“對于CIO們和他們的團隊而言，最大的挑戰是保持他們的系統滿足合規要求”，報告說。“排名第二的挑戰是完全地IT控制自動化，而理解復雜的合規要排在第三”。

　　受訪者也表明變更管理是努力維持合規中主要的問題。企業估計公司一年中14%的宕機時間是未授權變更的結果。要處理變更管理這個難題，75%的受訪者表示部署配置評估工具，68%表示實施完整性監控，接下來是數據庫活動監控工具。

　　調查發現當審計員查看審計記錄時，變更管理糾紛會讓問題火上澆油。合規遵從審計經常讓IT團隊處于“救火員”模式，一個問題會動搖戰略的項目和業務目標。只有25%的受訪公司聲稱他們對審計不感到憂慮。

　　調查顯示，“更重要的是，盡管大約六成的公司在他們的審計記錄中記錄發生變更的類型和時間，但其中只有不到一半會同時記錄執行變更的人員和地點”。“無法追溯變更人員給責任定位留下了巨大的不足，既無法正確地履行他們的職責，更甚者，使得追蹤惡意的內部人員變得更為困難”。

　　McAfee的調查指出，自動化的風險和規則遵從工具及標準化的安全套裝有助于減輕評估規則遵從的負擔。

原文鏈接：http://www.searchsecurity.com.cn/showcontent_45934.htm