扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
“IT安全在我们这里就是信息安全”
“这对老板不适用”
虽然在塞班斯法案实施后,这一问题有所好转,但有时公司高管还是拒绝遵从自己亲自批准的安全策略。除非你工作一丝不苟,并准备跟他杠上了,否则大多数人会选择睁一只眼闭一只眼。领导至少应该在员工面前以身作则,回到自己办公室该怎么样还怎么样不管,但要给员工带好头。如果还想通过塞班斯法案检查的话,最好还是按规矩办为好。
“我们的信息安全官在IT部”
不管名号怎么叫,IT部门的安全专家只能是安全管理员,即使这个人保有信息安全官的头衔。这里面的问题是通常信息安全官的职责是确认各种安全措施是否能够有效地防护信息安全。安全管理员通常是设计这些安全措施的技术负责人,因此自我审计自己的工作效果。这就是“既当运动员,又当裁判员”的问题。除了军事单位,公司内信息安全官的职位应该高于IT主管。
“我们有密码策略”
严格来讲,规定密码长度、复杂度的文档是一份技术标准或操作指南,而不应该叫作策略。策略是业务指令的容器,例如“个人在被授权使用公司资产之前必须确认身份并授权”。注意策略是要做什么,而不是如何做。虽然在某些软件厂商的努力下,概念上有些混淆,“组策略对象”根本就不是策略。然而,我不是吹毛求疵的人,不会抓住术语的叫法不放。重要的是该密码标准(或者说策略)根本不符合真正的策略要求,以致于IT人员花大量时间对此进行控制,而不去管未授权使用的问题,真是舍本逐末。没有好的操作指导和要求,做再多其它努力也是无用功。
“我们经理拥有全部密码”
虽然这是CISSP的初级错误,但现实中确实有一些经理要求这样做。美其名曰怕有人突然辞职或生病不能到公司,无法进行相关工作。我上一次遇到这样的神人是在一个小的政府机构里,里面全是律师,本应该知道这是不对的。然而,当我碰到这样的情况,我会毫不犹豫叫停。这样对经理说很有效:如果你这样做的话,他们犯任何错误,你都有嫌疑;永远也不得消停。想早点退休的话,那就这么干吧。
“Web应用只有在....,才....”
一家厂商当然不可能代表技术标准,不做功课就会有问题,当厂商改变了产品线,尤其是对网络和安全设备来说,功能是否还能达到要求。当顾客都不知道想要什么的时候,似乎一切都是需要的。
“这些是从哪来的”
对于那些高科技设备找厂家直接服务还可以理解,但IT部门应该负起应负的责任,IT部门的帮助台电话跟有些厂商的800电话一样难打。企业的安全策略不是只用来读的,应该切切实实的落实下来。
“我们将防火墙规则发送给了...”
大多数网络管理员对于上述泄露密码给主管一事心知肚明,但有些竟然随便将防火墙规则拷贝用电子邮件发送出去;更遭的是,有些竟然让厂家或者自由顾问对防火墙进行配置。这些规则,如果足够复杂的话,会暴露整个企业的网络拓扑以及安全防范。没有特别需要的话,没有一个认真的安全专家会拷贝别人的防火墙规则,系统审计员会查看规则的变动情况。如果发现防火墙规则外泄了,那就准备重新规划企业IP设计吧。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。