Premier 100:共享知识是安全成功的关键

加利福尼亚州帕尔菲沙特尔—Bayerische Landesbank的高级领导人认为,他们已经制定出了最好的应急计划之一,以应对潜在的灾难或紧急情况。但是,总部位于纽约的该行副行长兼首席信息官戴维·C·约翰(David C. John)表示,9月11日恐怖袭击造成的人员伤亡凸显了该计划的巨大漏洞。

“没有人员,没有人员,灾难计划有什么好处?”他昨天在 电脑世界的Premiere 100小组讨论“企业安全性–真正足够多”。

9月11日,Nimda和Code Red蠕虫与信息安全一起被移到了大多数企业的优先级列表中。小组主持人,高级副总裁兼首席运营官埃迪·施瓦茨说,许多人仍然没有系统地解决这个问题,直到他们团结起来,甚至与竞争对手一起,才能分享知识并防范真正的最坏情况。总部位于马萨诸塞州沃尔瑟姆的信息安全公司Guardent Inc.。

会议期间进行的非正式互动民意测验凸显了许多IT领导者的沮丧情绪:80%的受访者表示安全已成为他们的重中之重,而只有8%的受访者表示他们的安全预算得到了适当的资助。

但是,与会专家说,风险评估,教育和培训对信息安全的重要性要高于高成本系统。

总统关键基础设施保护委员会副主席霍华德·施密特(Howard Schmidt)
1pixclear.gif
总统关键基础设施保护委员会副主席霍华德·施密特(Howard Schmidt)
1pixclear.gif

GFInet Inc.执行副总裁兼CIO Russ Lewis说:“您不需要为此投入技术。” GFInet Inc.是一家在线贸易公司,距离纽约世界贸易中心所在地只有六个街区。 “准备好。回到古老的童子军格言。”

刘易斯说,在遭受攻击之后,GFInet灾难恢复计划中的第一大漏洞就是其供应商。

刘易斯说:“在9月11日之前,安全一直被视为我们的问题。”他说,在选择供应商时,“我们总是选择功能”而非安全性。现在,该公司质疑供应商在危机期间是否会存在,以及GFInet的数据在其系统中是否安全。

刘易斯说,GFInet的主要电信供应商是Verizon Communications。但它也与世界通讯公司(WorldCom Inc.)和通用电气公司(General Electric Co.)签订了合同。

Lewis表示,IT部门内简化系统和减少供应商数量的增长趋势可能是错误的。相反,他建议,使供应商社区多样化。

Lewis说:“对系统进行分类,对供应商进行分类。”他补充说,他之所以选择价格更高的供应商,是因为他们拥有更好的安全流程。 “知道你要依靠谁。”

布什总统关键基础设施保护委员会副主席,微软公司前首席安全官霍华德·施密特(Howard Schmidt)建议集中化信息安全管理,但要分散执行力。这样,每个人都知道该怎么做,但是中心有个人控制着一切,他解释说。

培训和教育也至关重要。施密特说:“你像训练一样战斗。”

施密特说,信息共享咨询委员会(ISAC)的创建是如此有效,以至于它们已经扩展到最初的七个重点领域之外,这些信息和咨询委员会可以迅速共享安全威胁和信息以保护国家的关键基础设施。他强调说,那些ISAC可以帮助企业进行自我监管,而不是由政府制定安全法规。

Schwartz还向IT领导者提供了以下有关安全性的建议:

  • 简化系统配置。他说,IT中有许多活动的部分,但是“它必须更简单”。
  • 对员工进行信息安全教育。每个人都知道不打开电子邮件附件,但他们仍然这样做。员工仍然可以从不受保护的家庭数字用户线连接中登录公司系统。他说,人们需要更好地了解这种行动的含义。
  • 确保经常应用软件补丁。他说:“只要有人写代码,我们就必须应对补丁管理。”

总部位于北卡罗来纳州夏洛特市的美国银行高级副总裁麦克·希克斯(Mack Hicks)表示,高管们需要改变旧的陈规定型观念,即信息安全是一条死路一条,以吸引有效的领导者来掌管安全。他建议公司明确表示经理可以进出信息安全工作,这是一个可以促进其职业发展的动态领域。

Schwartz还建议公司诚实评估对其组织的内部和外部威胁以及资产价值。他说,例如,如果公司不需要所有系统都具有99.999%的正常运行时间,那不是他们的目标。

施密特说,这些问题需要解决,因为它们不会消失。

施瓦兹说,他认为,全世界甚至还没有开始目睹未来网络攻击的规模,而且已经有经验证据表明恐怖分子正在探测公司系统。

他说:“我认为安全性将永远排在前三位。”

相关故事:

有关Premier 100会议的更多新闻,请访问我们的 特别报道页面.

有关:

版权© 2002 IDG通讯,Inc.

  
在亚马逊上购买技术产品