IT安全往往是個吃力不討好的任務(wù)，因此只有當(dāng)IT安全無法保障的時候，別人才會注意到它。為了在虛擬化、智能手機(jī)、云計算時代也做好此工作，必須避免技術(shù)和政治錯誤。以下是IT安全經(jīng)理應(yīng)該注意的5點變化：

1. 公司業(yè)務(wù)形態(tài)已經(jīng)發(fā)生變化

事實并非如此?，F(xiàn)在大部分公司都會允許員工在上班時使用個人移動設(shè)備，而且有些公司已經(jīng)逐步將計算資源和應(yīng)用程序遷移至云計算中（有時是在IT安全人員不知情的情況下），IT安全經(jīng)理的力量和影響力正在逐步被削減。IT安全經(jīng)理必須主動將合適的安全措施應(yīng)用到快速發(fā)展的技術(shù)上(有時這種決策還是由非IT部門作出)。這可能需要制定新的IT政策來規(guī)避風(fēng)險因素，因此在這方面不能有任何錯誤。

2.要與除CIO外的部門經(jīng)理保持良好工作關(guān)系

IT安全部門相對IT其他部門來說通常較小。IT安全只是依賴于IT人員完成基本的安全工作。安全專業(yè)人士可能會擁有精通的專業(yè)知識，擁有諸如CISSP等許多證書。但這并不代表他們能得到其他人的欣賞或喜歡。尤其安全人員經(jīng)常會因為某些安全問題而對其他人的項目說“不”。

而且，現(xiàn)在的企業(yè)中CIO并不總是IT項目的最高決策者：CIO作為IT項目指揮官的傳統(tǒng)角色正有著基本轉(zhuǎn)變，而首席財務(wù)官在IT項目上有著越來越多的最終發(fā)言權(quán)。一些證據(jù)表明CFO甚至不喜歡IT部門。CFO關(guān)于安全的見解可能只是像一般人的法律觀念——“遵從”。因此，安全專業(yè)人士在工作中必須是交流，交流，再交流。

3.虛擬化技術(shù)帶來安全新挑戰(zhàn)

公司正逐步實現(xiàn)對80%的服務(wù)器基礎(chǔ)結(jié)構(gòu)進(jìn)行虛擬化，而且桌面虛擬化項目也在日益增多。但是虛擬化相關(guān)的安全技術(shù)仍然滯后，許多人仍然錯誤地認(rèn)為虛擬局域網(wǎng)已經(jīng)是虛擬化時代的結(jié)束。事實上，虛擬化架構(gòu)正在通過開放所有可以利用的路徑改變一切。正如之前在IT行業(yè)已經(jīng)發(fā)生數(shù)次的：在人們并沒有足夠重視安全方面影響的情況下，突破性的技術(shù)也已可用。

一些傳統(tǒng)的安全產(chǎn)品，比如殺毒軟件，通常不能在虛擬機(jī)上良好地運行。物理設(shè)備也可能會有一些盲點?，F(xiàn)在，專用于虛擬環(huán)境的安全產(chǎn)品最終進(jìn)入市場——而安全專業(yè)人士也要弄清是否真正需要使用這些安全產(chǎn)品，同時還要跟上不斷變化的廠商安全計劃，比如VMware、微軟、思杰。而且在最終提升安全水平特別是在災(zāi)難恢復(fù)方面，虛擬化潛力巨大。

4.對未來可能的數(shù)據(jù)泄漏做足準(zhǔn)備

一旦敏感數(shù)據(jù)被盜竊或者被無意泄露，這將會成為一個噩夢。除了技術(shù)檢測和技術(shù)修復(fù)以外，用戶必須遵守數(shù)據(jù)泄漏的相關(guān)法規(guī)。但是究竟是哪一部法律呢?例如在美國，幾乎每個州都有自己的數(shù)據(jù)泄密法，還有諸如高新技術(shù)法的聯(lián)邦法案，這些法律會影響某些其他行業(yè)(比如醫(yī)療行業(yè))。一旦數(shù)據(jù)泄漏，就會成為重大事件，而且調(diào)查所需的話費極大。這要求IT安全經(jīng)理、IT部門法律部門人力資源部、公共事務(wù)部等部門要協(xié)同合作。公司應(yīng)該為最壞的情況做好準(zhǔn)備，并且在內(nèi)部進(jìn)行數(shù)據(jù)泄漏操練。

5.不應(yīng)滿足于現(xiàn)有的IT安全廠商

與IT及安全廠商結(jié)為親密的合作伙伴相當(dāng)必要。但是在任何廠商關(guān)系中都存在的風(fēng)險是：用戶往往會忘記用批判的眼光看待產(chǎn)品及服務(wù)。許多廠商正力圖將傳統(tǒng)的安全控制手段去適應(yīng)新的虛擬化和云計算環(huán)境。在某種意義上，現(xiàn)在形勢有些混亂，因為IT行業(yè)正經(jīng)歷一次徹底的變革。但是，那只是意味著用戶需要更加大力地推進(jìn)IT安全以使公司滿足其現(xiàn)有與將來的需求。

【編輯推薦】

1. 自帶設(shè)備已成IT安全之最大風(fēng)險
2. CSO需要警惕五大IT安全認(rèn)知錯誤
3. 哪一種選擇更好:信息安全認(rèn)證還是IT安全學(xué)歷
4. 網(wǎng)絡(luò)安全成頭等大事 2010年IT安全十大事件