如何为你的企业选择最好的安全解决方案
认为“选择最好的安全解决方案就等于挑选听起来最强大的防毒软件和防火墙的最新版本”的日子已经一去不复返了。如今,选择可能的保护措施来对付技术越来越精通的黑客,盗窃犯和其他社会不良分子已经是专业IT人士最棘手的任务之一。
看起来技术最先进的(就算不是最贵的)入侵监测系统始终是最佳选择,即使你可以证明这个投资非常正确,仍有可能有不同的解决方案更适合你的公司。你要如何知道呢?看看下面安全专家的建议吧。
考虑与你的商业计划相适应的解决方案
在宏观角度,选择安全解决方案需要考虑的一个主要因素是其对你的业务的重要性。
@stake公司首席技术官及其风险分析精英中心负责人Daniel E. Geer,Jr.说,最好的解决方案完全取决于你所在的行业和你所处的位置。
"对于大公司,"Geer说,"可靠性是目标,安全性是那个目标的子集,因此安全性必须接受的评测是说明它如何能提升可靠性或不能提升可靠性。"
"对于面对调整压力的公司,"Geer建议,"他们必须把关于调整的模糊的语言('你不能把客户的数据放错地方')变成技术上很明确的东西('对于任何能访问到所有客户数据的人员有强大的认证功能'), 并找到一种方法来核实解决方案确实已经到位。"
Geer补充说,对于那些公司资产就是公司数据本身的公司,例如药物研究领域,"中心议题将会是一个十分精确的责任制度,这是一种内部威胁被最消除的责任制度。"
经济角度来说,有着最多的信息资产要保护的公司应该大力投资安全解决方案。Geer说,那应该是那些拥有有IT资产的公司,这些IT资产是最具短期价值,丢失后最难弥补,对于经济优势也最为重要的。
"我们可以证明,金钱的抽象概念本质上就是信息,因此,金融服务业要生存就要靠信息,这就是为什么金融服务业一直是,可能将继续是信息安全领域的主要代表," Geer解释说。
跟踪成本和异常现象
采用一个针对细节的手段,尤其是当选择过程取决于网络或系统管理员和支持团队的推荐时,找到正确解决方案的一个方法就是对问题进行仔细考察。
留意成本,Geer建议。"安全性的缺乏每年让公司付出了什么代价?如果有人闯入,后果是什么?即便系统管理员说不出具体的金额,写下你能写出的东西:数小时的宕机时间、为了让系统恢复运行的加班工作、丢了工作的人们、失去的大笔生意机会,等等。"一旦你理解了不安全会让公司付出的代价,你就能够试着找到成本合理的解决方案,他说。
Geer还建议尽量使用登录系统,"这样反常的行为将很容易显露出来,因为你知道什么样是'正常的'。"他说如果你不这么做,你可能会要么保护不充分,要么花费过多。
"对某样东西进行测量,例如,普通台式机每小时有多少唯一的外部访问地址,这样当某台机器开始出现10倍于普通外部站点的访问时,你可以猜测它出现了问题,等等。"
回到根本: 制定合理的选择标准
据I-Sentry Solutio Inc.安全咨询操作领导Francis Pineda说, 购买最好最新的安全技术,而不太考虑公司到底想要保护什么,这种做法在公司中有增长的趋势。
"买很容易,但是你需要理解什么资产需要保护,威胁来自什么,为何种等级,以及对业务的潜在影响,"Pineda说。简单地说,风险评估(自身评估或通过一个第三方)将有助于你确定你的选择标准,并压缩你预期的解决方案。
"安全技术的选择是一个多角度的过程,不要抄近路,"Pineda强调。理想的选择标准应该包括基本的,经常被注意的因素,例如:
基于硬件或软件
Windows, Solaris或Linux
配套解决方案或最佳方案
功能性,可管理性和绩效
支持和附加值服务
安装基础和证明
第三方评论和打分
附加功能
保修期
成本
"有成千上万的商品供选择,幸运的是,其中99%运行与广告中描述的相符。防火墙,入侵检测系统,杀毒软件,等等,经过多年的再开发已经发展成熟,所以它们大多数是不错的解决方案, 有许多和它们的竞争对手几乎不相上下。"
Pineda强调了在评估最好的安全设备时研究和调查的重要性。向你的同行咨询。只从一家信誉好的销售商处购买。"永远不要只根据成本来做决定,"他警告说。"因为一分钱一分货。"
排除人为因素
安全专家强调了在为企业确定最佳安全技术时的"人为因素"。除了BFUD(心理恐怖战术)和ROSI(安全投资回报),公司需要向经理人,资源所有者以及业务单位咨询,讨论安全问题和评估可行的解决方案。但是为了这么做,安全管理员必须在技术能力和沟通能力上都很拔尖。
"最好的解决方案要有最好的管理员,"Pineda说。有些公司能购买合适的安全解决方案,但是管理员却不能使这些工具的使用最优化。例如,入侵检测设备需要正确应用,否则它们将引起过多的错误警报,防火墙需要重新配置来与公司的安全政策保持一致。他说,安全官和管理员必须能干,勤奋和足智多谋。
但是安全管理员不仅要技术娴熟,还需要拥有出色的沟通技巧。这有助于他们向公司各级有效地传播安全政策并取得经理,用户和资源拥有者的支持和协作。
根据Meta Group公司最新的研究, "75%以上的公司发现用户的不重视在一定程度上或很大程度上地降低了他们安全计划的有效性。"不被重视是由于IT安全工作人员没能有效地在全公司传达政策和方法。
没有灵丹妙药
"没有什么灵丹妙药,"Geer说。"真正的安全解决方案应该针对安全问题,然后通过人工流程和技术来解决它。这样,最好的安全解决方案才能适用。"
要为你公司的安全问题找到最佳答案将需要经过一个错综复杂的过程,包括了深入的风险评估,专门的安全的委员会,全面的产品评估和能力极强的管理员。这很乏味和棘手,但当然还是可行的。
