CIO：避免IT安全五个误区

　　与清洗窗户一样，IT安全是一项吃力不讨好的工作，因为他们只会在你停止工作之时，才会发现问题所在。在虚拟化、智能手机和云计算时代，若想做好IT安全工作，你就必须避免技术和政策的误区，尤其是以下五个误区，要特别地注意：

　　1. 商业思维还停留在五年前

　　员工在工作中开始使用个人移动设备，企业也渐渐地将传统的计算资源和应用迁入云中，甚至在你还未意识到时就走入了云端。这时IT部门就要积极引入正确合理的安全措施来应对快速发展的技术，有时候甚至还需要外部人员的合作。虽然这会是一个“不可能的任务”的分配，但它就是你的任务。它可能需要制定新的政策指导以及明确的说明因素等，所以不允许有错误的假设。

　　2. 未能建立IT与高层管理者的工作关系

　　IT安全部门与IT的其他部门相比，通常很小。而IT安全依赖于IT员工基本安全工作的完成，同时IT专业人士也许需要专业的安全知识，拥有一沓如CISSP这样的证书，但并不意味着他或她必然是受尊重和欢迎的，因为特别是安全人士总是对别人的项目说“NO”。

　　另外，不要以为权力结构总是指向作为最高决策者的首席信息官的。一个根本性转变正在发生：对IT项目下命令的CIO，其权力开始下滑，而CFO开始渐渐拥有IT项目的话语权，而且也有一些迹象表明CFO们并不喜欢IT部门，CFO对安全的想法可能仅限于一般的“遵守法律”。因此，安全专业人士的工作就是沟通、沟通再沟通。

　　3. 不理解虚拟化安全的重要性

　　企业在服务器基础设施、桌面虚拟化方面的工作已完成了80%，而且还在进一步的提高。但是安全却还在拖后腿，事实上虚拟化架构通过开放新的途径改变了一切，突破性的技术给安全带来了更多的问题，因为在IT行业此类安全事故发生的比较多。

　　一些传统的安全产品，例如反病毒软件，它在虚拟机里经常不起作用，物理设备也可能有新的盲点，如今，专门为虚拟化环境设计的安全产品已面市，专业安全人士要做的就是搞清是否需要使用这些软件，同时还要不断跟进VMware、微软、思杰等厂商的安全计划。虚拟化具有很大的前景，最终也将会提高安全性，特别是灾难恢复。

　　4. 并未重视数据泄漏

　　一些敏感数据被盗或是泄漏都将会是噩梦。除了技术检测和修复外，关于数据泄漏还有法律要遵循，但要遵循什么法规呢？几乎每个地方都拥有自己的数据泄漏法和一些联邦法规，如HI - TECH法就影响着医疗等行业。尽管这样，数据泄漏仍然是一件大事，还是一件代价昂贵的事，需要IT安全管理者、IT部门、法律部门以及人力资源、公共关系人员的配合，甚至更多人的配合。企业在这方面，必须要制定最坏的安全备案，杜绝内部数据泄密。

　　5. 安全厂商的过度自满

　　企业一定要与IT和安全厂商建立坚固的合作伙伴关系。但是这其中最大的危险就是忘了如何用批判的眼光来看待厂商的产品和服务 ，特别是弄清他们与竞争对手的关系，还要为身份验证和授权、脆弱性评估和恶意软件保护的基本问题找寻新的方法。很多安全厂商还在利用传统安全控制来适应虚拟化和云计算的工作中挣扎。从某种意义来讲，这是一个IT重塑的混乱的时代，同时也意味着IT厂商需要更好地了解企业未来的需求，以便更好地发展。