安全性将超越IT Director控制

一项新研究发现,安全专业人员将来会超越IT主管的控制范围,因为他们将采取更为主动的方法来保护其组织

根据信息安全论坛(ISF)的一项研究,安全专业人员将来将超越IT主管的控制范围,因为他们将采取更加主动的方法来保护其组织。

ISF是致力于信息安全基准测试和最佳实践的国际组织。 ISF的高级研究顾问兼报告的作者艾德里安·戴维斯(Adrian Davis)解释说:“这项研究是研究组织安全管理的一系列可交付成果的一部分。”

“去年年底,我们研究了五年后的安全状况。我们在世界各地举行了工作组会议,并通过问卷调查进行了支持。我们收集了一个非常大的数据集来挖掘数据。”

ISF目前正在编制报告的可交付成果,并且无法透露很多细节。但是,戴维斯确实与Techworld讨论了该报告的要点。

他说:“未来信息安全的愿景是变化的程度非常重要。” “例如,目前,不到十分之三的信息安全专业人员认为他们专注于为企业提供解决方案。”

“将来,我们预计10个中的6个或7个将专注于提供解决方案。”

他补充说:“这意味着技能将需要改变。” “安全性与业务交互的方式将发生变化。安全专业人员不会向IT主管报告。目前,十分之五的IT主管将向IT主管报告。但将来,不到五分之一会向IT主管报告。

Davies指出,目前有越来越多的信息安全专业人员向首席风险官(CRO),首席安全官(CSO)和首席运营官汇报。

他说:“这些CRO和CSO都不是IT人员。” “他们通常与IT总监处于同一级别。IT安全专业人员正在从IT转向业务和业务支持功能。”

“这种离开IT领域的举动,在一定程度上是受企业风险管理以及物理和信息安全融合的推动,例如枪支和警卫的合并,一站式服务来保护您的安装。”

Davies认为,当前的IT安全专业人员专注于保护组织的信息,并在一定程度上关注组织的声誉和品牌。

“展望未来,他们希望朝着更具战略性,更具咨询性的方向发展,并确保组织的安全。”

那么安全专家如何做到这一点?戴维斯说:“这有很多要素。” “展望未来,安全专业人员需要研究可能发生的情况,而不是等待其发生,我们称之为扫描威胁范围并了解可能的威胁影响。第二部分是管理陈词滥调,拥抱变化。比在外面安全地进行变化更好。”

他说:“最后,需要真正理解,仅凭技术无法解决许多这些问题。” “您需要处理流程,人员方面,而不仅仅是位和字节。”

Davies认为,基于风险的方法正在发生变化。他说:“我们知道没有100%的安全性。” “您只能提供一定级别的安全性。安全专业人员需要与企业坐下来,确定风险并确定这些风险的优先级。他们需要与企业合作,以将风险降至最低。”

他警告说:“但是,在合规性(这是一小步,您可以接受的方法)与基于风险的方法之间存在紧张关系。” “对一家公司构成的风险,可能对另一家公司而言并不构成风险。这是信息安全的一种较新的观点,而不是锁定和保护所有事物的旧方法。”

戴维斯(Davies)感到,安全专业人员正变得更加积极主动。他说:“有追随者,然后有领导者。一些组织在开拓创新。” “一些组织目前只考虑沿着这条路走。”

戴维斯总结说:“令人惊讶的是变化的程度。” “对于信息安全领域的人们来说,这是一个令人兴奋的时刻。面临许多挑战,但真正的感觉是,安全行业正在日趋成熟,实际上可以成为真正的业务合作伙伴,而不是像过去那样仅仅是技术上的辅助。 ”

版权© 2008 IDG通讯,Inc.