高合规要求行业切勿匆匆上马虚拟化大数据和云计算

金融、电信、能源等行业信息总监们要特别注意,不要急匆匆上马云计算、大数据和虚拟化项目。昆明亭长朗然科技有限公司信息安全顾问董志军称:尽管此前多个行业监管机关都发文要求谨慎使用信息外包服务,特别是关键的核心数据一定要留在国内,但是仍然有“顶风作案”的海外中资拓荒公司成了这一政策的受害者。

其实,对于跨国公司来讲,数据中心应该离用户最近,如果某些国家或地区的基础设施不错,那将主要用于服务当地的数据放在国内显然是不够经济的事情。网络压力,故障排差,用户支持等等都是问题。这么来说,就没有好的招了吗?弹性云计算让这一切变得轻松,特别是提供全球范围内的云服务,可以让我们省下建设数据中心的高昂成本,也可以减少项目风险——云计算,用多少付多少,国际形势再风云变幻,咱说撤就撤。

但是云计算尚未能解决关键的网络空间管辖问题,这已经不仅仅是商业安全的范围,更上升至国家安全。这个海外投资项目没有得到很好的主权安全治理认可,即使云计算相关的信息安全风险都得到了有效的控管,比如设置了磁盘级数据加密、多重的身份验证、虚拟专用网络连接等等,但是仍然免不了接受巨额罚单。

违规操作显然是一种商业风险,有高合规要求的行业被严格监管,别以为出了国门就可以不受法律约束。恰恰相反的是要受到双重法律约束——来自母国的和当地了,但是这些烦杂的信息安全要求都被信息架构人员们和IT专业人员们知晓并遵守么?

这个海外投资项目最早是想以一家本地公司的名头来弄这些IT系统,可是本地IT人力资源不够充足。于是项目经理召集IT架构人员开会讨论,一开始准备派驻中资IT人员前去帮忙搭建,培训好两三个本地运维人员后撤离。后来发现当地的进口政策很僵死,海外的IT设备运进去需要大半年,这让项目经理急得不行。幸好有云计算大鳄入驻了该国,于是使用云计算就成了顺理成章的事儿了。项目建设顺利,当初出点子和做决策的IT管理人员和团队都受到了表彰。

可是有一天,对云计算的远程访问被切断了,这事儿正好撞上一项国际政治关系大事儿,于是公司IT高管中枪了。

还好,经过与云计算公司的磋商,数据得以迁移到中国,但是这却给集团信息安全总监一个深刻的教训。信息安全方面的合规应该加强,特别是要将相关的安全政策、标准和要求传达给IT部门所有人员。这不是搭建平台方面的技术问题,但却比技术更为重要!

为了帮助各类型的组织机构快速培训职员们必要的信息安全合规意识,昆明亭长朗然科技有限公司推出了大量的信息安全合规课程,内容包括相关法律规定的解读,公司层面的要求,以及简单的安全意识测试等等,欢迎在线体验。

payment-card-security

信息安全官半夜被呼醒的启示

信息安全官半夜被呼醒的情况往往是突发性紧急信息安全事故,比如遭遇“猪猪侠”这种黑客大牛将系统漏洞挖掘出来并通过媒体进行曝光,或者遭遇勒索不成恼羞成怒的骇客发起分布式拒绝服务攻击让在线业务停顿。

其实,能够引起突发性紧急信息安全事故的并不限于黑客或骇客,多数信息安全威胁都是在人们的认知范围内,除了安全事件应急响应之外,做风险评估和应对计划,业务持续性计划及灾难恢复计划时都会考虑这些。所以,出现安全事故难以完全避免,而且出现了也不会出乱子,一切尽在掌控。

可是,突发性的严重安全事故不能频频出现,否则不仅信息安全总监、经理或主管们睡不好觉,一线的业务大佬们甚至CEO和董事会主席都可能是彻夜难眠啊。

有了4G和视频通话,信息安全总监可以在被窝里指挥前线值班人员快速恢复信息系统吗?这太好笑了吧!更好笑的更刺激的更冷的是让黑客入侵了智能手机终端,偷偷拍下床头的视频并上传到互联网上……

这不是没可能,而是信息安全官带着的一批队伍的水平好过普通的入侵者,或者说安全防范措施足以应对这些安全威胁,让信息安全风险降低至可接受的水平。

这里我们不得不再次提到移动终端设备的安全,很多互联网服务在鼓励客户使用移动终端,其实我们也看到,智能手机的出货量已经开始超越个人电脑,而且我们也亲身体验到,使用平板电脑和大屏手机处理简单的业务流程操作,要比使用个人电脑要高效的多。

移动应用和移动终端设备来势汹涌,安全问题也逐渐替代PC而成为信息安全官们的梦魇,而移动终端要比PC的控管难很多,因为它们可能属于员工的资产,严格区分工作和私人用途已经非常不易,并且这些设备和用户可能随时游离于传统的工作区域和内部网络,移动用户的有效身份鉴别也挑战着传统的IAM系统,更不用说保护终端信息数据的保密不被偷窥和滥用等等。

除了移动终端之外,大数据大集中的趋势也没让信息安全官轻松,大数据,大价值,大关联,不仅仅是终端用户,更可能是客户、供应商、合作伙伴等等利益相关者。抛开隐私顾虑不说,产品流、信息流的任何一点出现严重故障都可能损及整个链条的利益和信誉。在自然,面对这些潜在的问题时,信息安全负责人轻松不下来。

信息设备和系统越来越强大和稳定,Windows蓝屏都已经很少了,PC故障排差已经不是什么IT工作了,不是么?但是IT安全的维护越来越难,为什么会这样呢?昆明亭长朗然科技有限公司企业信息安全管理顾问James Dong说:信息安全变得越来越难,主要是因为越来越多的安全事件起因于人为因素比如故意破坏或操作失误。

从外部来讲,黑客、竞争者和商业间谍的活动比以往任何时代都要猖獗;从内部来看,新世代员工们更加的开放和容易轻信他人,这内外两种因素结合起来,无疑让信息安全管理难上加难。当人为因素造成的安全事故层出不穷时,信息安全官半夜被呼醒也是常态之事了。

信息安全官想睡个好觉,解决之道何在?在技术控管层面,无疑需加强大数据——机房、服务器、应用系统、数据库以及商业流程的中央安全,以及海量终端设备的安全。在人员管理层面,无疑需要强化内部人员以及利益相关链条的信息安全意识,让内部的信息安全素养和防范水平高过外部威胁,例如,能辨识出商业诈骗电话和钓鱼邮件并采取正确的行动。

昆明亭长朗然科技有限公司各组织可依赖的信息安全意识培训合作伙伴,我们专注于帮助各类型的组织管理信息安全中关于人员的风险,欢迎联系我们洽谈业务合作。