因为工作专业性强并且一贯保持低调,安全工作者往往被人们误解。安全工作纰漏的越少人们的想象力越五花八门,因此,今天我们就来报一下安全工作的“料”,也借此为安全工作者们“正正名”,希望能让人们因为了解而理解并支持他们的工作。
下面是对安全工作者的十种误读和正解:
误解一:安全专业人士的晋升空间有限
事实:在过去,对于某些组织而言信息安全被视为高科技工作、专业化领域,而且通常属于大型IT机构的组成部分。不过随着当前业务开展与信息技术之间的联系愈发紧密,企业已经开始理解到信息安全在关键性业务流程中所扮演的重要角色。
安全专业人士正在越来越多地与企业高层管理者进行互动,并成为企业获得成功的重要推动者之一。如今高层管理队伍中已经为安全工作保留了更多席位,相信安全专业人士能够借此获得更多晋升机遇,从而走的更远。
误解二:每一位从事安全工作的人员都是安全专家
事实:安全事务其实是个区划明确、专业性很强的门类。IDS人员不知道如何在Web应用程序当中寻找安全漏洞,而软件安全人员也不知道如何进行数字化取证。
误解三:安全专业人士都是偏执狂,喜欢怀疑一切并且牢牢掌控着公共密钥交换事务
事实:最近美国国家安全局曝出的监控丑闻确实证明,十几年前以科幻式眼光作出的攻击理论预测得到了应验。尽管如此,统计数据与经济学解读仍然告诉我们,纵然是最为老练的攻击者也很难撼动大多数人移动设备或者家用计算机的安全屏障。
误解四:安全专家认为合规性意味着安全
事实:现实情况是,目前的合规性检测还仅仅属于一种验证标准;如果大家的安全态度仅仅足以保证员工不至于怨声载道,那么这样的水准显然还不能让我们高枕无忧。这种误区产生的原因之一在于,合规性往往成为CSO用来推进并获取安全项目预算的主要手段。不过千万别因此而误会了安全管理者,他们只不过需要借着这个机会来完成工作、实际成效通常都会超越监管要求以满足企业对安全的实际需求。
误解五:安全与基础设施/运营永远无法和睦相处
事实:尽管在所谓的CIA(即保密性、完整性及可用性)当中,可用性往往被人们视为基础设施/运营的根本性前提与推动力。然而对于真正互相了解彼此角色定位的部门来说,这三大支柱的作用必须全部得到承认与严格执行。
误解六:信息安全属于技术性极高的学科
事实:在通常情况下,这种指向性太过广泛的总结都会有所偏颇或者产生遗漏。当然,在信息安全领域中确实存在对技术专长要求较高的特定角色。
不过随着信息安全事务的角色逐步向风险管理转化,我们需要更多了解业务部门需求而且能够以业务语言与非专业人士顺畅沟通的从业者加入进来。技术细节并不是全部内容,我们同样需要解释风险内容、并向管理者以及普通员工讲解不同安全方案的对应执行流程及技术风险。
误解七:黑客活动就像影视作品中表现的那样
事实:人们应该会意识到影视作品中的一切内容都经过了夸张,但却未必能体会到具体被夸张到了什么程度。让我们先澄清几点——首先,成功侵入目标设备时、其指示灯不会狂闪;其次,我们不可能一个一个字母破解他人的密码内容。
当我们成功完成入侵之后,屏幕上绝对不可能以3D方式显示出数据库结构、或者让我们像玩游戏那样从一个模块跳转到另一个模块。乱码字符也绝不会在我们面前突然转化为可直接阅读的文本。虽然电影中偶尔也会出现一些真实存在的安全工具,但由于不够花里胡哨而很难成为观众的关注焦点,因此往往登台的时长也就一、两秒钟。
误解八:安全专家认为安全价值高于实用性
事实:尽管以“安全”为职称头衔,但大多数CSO都明白只有适合作出权衡与让步企业业务才有可能蓬勃发展。我们不可能强行要求员工生活在战壕里,不可能用那些刚刚出现甚至之前闻所未闻的状况当成实际威胁,更不可能仅仅以IT部门无法管理为由阻止某些方案的推广。
这一误区的出现主要是由于多年以来,CSO一直扮演着阻挡者角色甚至在很多人心目中成为一道不可逾越的鸿沟。不过这种情况在过去几年中已经出现了显著变化。尽管CSO们仍然不可能对所有新型机制大开绿灯,但IT消费化以及云计算等新兴趋势已经让安全组织迎来了变化态势,从而保持安全工作与业务之间的相关性。
误解九:安全工作从来不忙也不烦
事实:没有哪种工作能在八小时之内带给员工100%的兴奋点。大部分安全工作所涉及的都是操作安全产品,汇总并分析异常日志内容,编写用于实现日常任务的自动化工具,而其中最糟糕的部分就是通过某些特定审计工作而不得不完成的任务或者项目。
误解十:安全的全部内容就是防范攻击活动
事实:对于大多数企业来说,信息安全团队的任务应该是帮助整个企业管理风险,从而保证IT资产的保密性、完整性以及可用性。
当然,在信息安全团队内部确实有专门负责预防类安全控制工作的资源存在。不过根据目前的威胁环境来看,企业需要将注意力集中在检测方面,旨在保证任何成功回避了预防控制机制的攻击活动都能被快速检测到并得到控制。威胁环境极为活跃而且在不断发展,企业绝不能单纯将命运托付给预防这一个方面。
