专家称信息安全费用限制创新

一位前安全研究人员和工程说，企业安全费用已经过度了，因为业务主管不知道怎么评估风险。同时安全专家通过采用妨碍员工生产力的技术而扩大了安全费用，而这最终影响到了公司底线。

　　Google的前信息主管兼工程副总裁Douglas Merrill说，CEO在盲目地签支票。Merrill现在是EMI Group Ltd的总裁。他在2009年的黑帽大会上对他的听众说，三分之一的高管每年都作了安全预算，但是不知道为什么。

　　Merrill说：“大家都听安全负责人的，高管其实被我们吓怕了。”

　　Mwrill是非营利性策略思想智囊团Rand Corp的前安全研究员。他指出安全预算相对不受经济下滑的影响，而调查显示有些增加了5%。安全专家继续向更多的资金努力，通常强调避免数据泄露的需要或主动合规的重要性。他说，疲惫的高管通常会给出空白支票，尽管安全专家抱怨说他们的资金不充足。Merrill说：“他们几乎认为高管面前都是金子，但是我们仍然不开心。”

　　他建议安全专家放松在很多公司中阻碍创新的限制。Merrill提到了最近的《财富》杂志做得关于最适合工作的地方的调查。其中具有压倒优势的是员工在限制较少的时候生产力最高。

　　Merril说：“如果员工有创新和参与到公司中的感觉的时候，他们就感到满足，而且生产力也较高。”

　　即使有安全背景的高管有时也会受到限制策略的阻碍。在EMI上，Merrill承认违反过公司的信息安全策略，并指出他有一位助理把它的日程表放在Google Calender上，这样他就可以绕过限制并在旅行的时候更快的访问。他说，安全专家需要向对客户提供技术的公司学习——放松使用会直接影响公司底线。据Merrill说，在很多情况县，客户的技术要比企业技术更好。

　　很多数据泄露的发生都是由于一些愚蠢的错误，例如员工丢弃敏感数据而不是销毁，但是Google的前CIO说，公司在监控员工和切断对数据及系统的访问技术上投资了大量资金。企业正在向自动消除人为错误的方向努力，但是Merrill提到了Google的工程程序以及恰当模式的奖励环境。

　　Merrill强调了Goolge对更好的技术减少限制时说：“我们的安全团队和工程团队把安全构建在基础架构中。我们没有在端点运行杀毒软件。而是在邮件服务器上运行。”

　　他还爱Google的时候说到了监控流量异常的系统。警告要记录，已引起注意，并在中断最短的情况下解决问题。

　　Google没有控制它的工程师工作环境，结果鼓励了新的更安全的操作。“(员工)不应该对创新有负罪感。……如果我们想要保住工作，并经常开心，我们必须找到帮助员工穿心的方法。”

　　Merrill说：“我们必须让安全不再成为问题。”

　　【美国TechTarget独家授权】 Expert: Information security spending often restricts innovation

　　【原创内容，版权所有，谢绝转载。TechTarget中国将保留追究其法律责任的权利。】