前VMware的CIO：什么是顶级数据威胁？

作为赛门铁克和VMware公司的前任CIO，Mark Egan已经看到了他分享的数据威胁以及这些威胁如何快速变身。拿云计算和虚拟化来说，几年前，因为安全问题，CIO们畏缩不前。他解释道，没有其他原因，就是因为厂商自己的安全控制措施不成熟——因为客户需要更好的数据安全和隐私。今天，Egan是一家优秀的技术咨询公司——StrataFusion集团（The StrataFusion Group）——的合作伙伴。并且他出版了一本名为“信息安全执行指南”的书。在他的新角色中，他认为他应该做一些工作转换。结果CIO们都要求他先关心一下“小的安全问题”。本文是访谈的第一部分。

问：在您2009年的一篇名为“增强数据保护的7个提示”的文章中，您提醒CIO们，当前针对云服务和虚拟化的数据保护技术还不成熟。现在在这些领域的数据威胁得到解决了吗？

Mark Egan：亚马逊，或者亚马逊与第三方供应商一起正被政府服务所使用。他们正开始被接受。他们正在消除那些安全问题。这个行业正在走向成熟，但使用时要小心，因为一些供应商提供的安全控制措施非常脆弱，以至于我14岁的儿子都可能越过它们。与此同时，一些云服务提供商在应对安全问题上的工作已经做了很长的时间，如ADP。工资数据是超级敏感的数据，但他们已经在这些数据的保护方面工作了很多年。

当我在VMware工作的时候，公司提供了大量资源专门用于确保vSphere的安全。但是，曾经，安全性并不是什么大不了的事情。我可以告诉您，是因为我了解专门做这项工作的员工，并且我看到他们是如何重新确保资源的安全的。另外，安全性成为了一个优先考虑的事项，因为客户说，“我们不能使用这种虚拟化的东西，因为它不安全。”如果这影响到供应商的业务，很显然他们将重新安排工作的优先级。

问：今天的顶级数据威胁是什么？

Mark Egan：许多安全问题是来自某些国家的持续性的威胁。他们是非常非常好的。在我看来，一些国家在研发上可能需要花费数十亿美元，但窃取将是更廉价的。大多数公司没有投入这样的时间或投入资源来保护自己的知识产权（IP）。他们认为法律将保护他们——比如版权等。他们不关心这些。在知识产权方面，有些公司和国家认为，窃取比开发更容易。

问：对于这些数据威胁，您的关键建议是什么？

Mark Egan：当他们打电话给我们时，总是关乎两件事情之一：一个是类似消防演习的修复模式，或者主动问我：“我对目前的工作环境感到不安全，您能帮帮我吗？”

在这两种情况下，我们做一个评估或给他们定一个基准。他们在哪里？他们有什么风险？让我们适时绘制一个路线图。您所要做的是一个渗透测试。像一个坏家伙一样展开行动，并试图攻破他们提到的环境。环境相当复杂，包含所有的硬件、软件和第三方（参与方）。攻破所有这些小的IP漏洞是其中一个目的之一。另一个目的是窃取您的钱。这是比较成熟的领域，如银行和金融服务;他们因为这些坏家伙而损失了钱财。安全已经成为了业务的一部分。

当我离开VMware时，我想我应该做一些工作转换：云、社交、移动、大数据。我正在做一些这方面的工作，但他们说：“有一点安全问题，我想请您先帮我一下。”这个小问题最后证明比他们想象的大很多。

问：公司在它们的安全战略中应包括端点设备，但他们是？

Mark Egan：自从我在一月份离开VMware以后，我一直接到电话被叫去做大量的安全性工作，而且对这些公司中的许多公司来说，安全性工作在这些公司并不是一个优先事项。他们专注于我怎么帮助我的公司尽可能快地产生新的产品;我如何帮助销售组织提供更好的客户体验。安全性保持一个较低的优先级，直到您遇到某件事情，比如客户事件，但我总是鼓励CIO们找出（他们的业务）在哪里，然后拿出一个长期的工作路线图。作为工作路线图的一部分，您必须确保员工工作的高效和平衡，随着时间的推移，进行合理的控制和合理的增量改进。安全不是一个项目，而是一个计划。

使用自用设备（BYOD）所面临的挑战是它的多样性。如果我进行规范，并说您仅仅能够使用这个设备，这时员工会说：“哦，这些IT部门的家伙总是阻止我用某些东西。任何很酷的东西，他们都不让我使用。”

在VMware，我们允许员工带自用设备，并且这些设备也包括各种不同的笔记本电脑和平板电脑环境。您可以使用Mac、Linux或者Windows。我们取得这种平衡，通过加密笔记本电脑以确保我们保持某种安全级别。但员工在终端用户设备和后端系统之间进行通信时，我们适时进行过滤，我们使用双因素认证，而不仅仅是一个密码，而是使用令牌。

您不希望通过严厉的方式去控制员工离开工作岗位并去做自己的事情。而是通过一套合理的控制措施并结合安全意识培训。

问：随着大数据的推动以赚钱和创造新的服务，您如何解决在云中和移动设备上移动的所有数据的隐私和安全？

Mark Egan：作为一名消费者，就我们愿意分享的内容，我们是更宽容的。我有一个Gmail帐户，如果我回过头来看看用户协议，我也许会同意他们可以匿名地使用我的所有信息。我们认为Facebook和谷歌真的很酷，但在他们的业务中用到了我们的行为信息。您愿意为电子邮件支付费用吗？我也许不愿意——或者为像LinkedIn这样的服务支付费用。

与此相对立的方面（是）您可以做一些简单的事情，比如冻结您的信用卡以防止身份盗窃。作为一名消费者，您可以自由地加密您的笔记本电脑。这些是您应该做的简单的事情。这些事融入了我们的个人生活和工作，真的很让人讨厌。当我开发安全意识培训课程时，我谈到了个人和工作邮件欺诈问题，什么类型的电子邮件帐户并不重要，都可能遭受身份盗窃。但对于主要的方面，比如密码和保护知识产权，您需要有定期的安全意识计划。他们可能不知道未经某些控制而下载某个产品计划到他们的个人笔记本电脑上是不安全的。您的财务的人员可能不知道他们所发送的文件应该进行加密保护。

但您必须让这些课程有趣、有互动性以及代表性。而不是关于保护知识产权的一次会话，取而代之的是说：“您花费了所有的时间去创造这些令人难以置信的产品，所以您想要保护它们，对不对？”这样的会话吸引了他们的注意，而不是像IT人员告诉我的去修改我的密码。对于销售组织——问问他们，如果他们的某位客户的信息被发布在互联网上或被出售给他们的某位竞争对手，他们是否愿意看到这样的结果。