公司內部IT安全性風險需要長抓不懈

在IT順從性規則會議上，Dan Verton在其主題報告中說，一個IT組織在保護自身財產的時候都面臨著一場升級的戰斗，無論侵犯者是否是惡意的。老式的IT外圍防護措施已經無法起到應有的作用。

Verton對觀眾們說，“你的安全性項目、政策以及程序等已經慘不忍睹了，而你卻很可能還蒙在鼓裡。你可能在外圍防護方案上花費了數百萬的美金，但是你根本沒有任何的防護帶而言。”

Verton是“內部問題：一個真實的故事”的作者，他說，公司們需要使用特定的技術對安全性程序進行強化，從而阻止內部惡意人士的攻擊，並防備那些由於忠實員工的松懈而導致的安全性問題。

無知並不是福

惡意的內部員工的動機是很明顯的，Verton說，他們就是想要竊取數據。

還有一些在安全性政策及程序的外圍工作的員工，他們並沒有惡意，但是卻不了解風險情況，從而他們為了工作更加的高效，抑或是為了下載一些色情等東西，就把系統暴露在惡意代碼的面前，從而產生了數據風險問題。

Verton認為，惡意的內部人士經常來自於公司的IT部門，這是任何CIO都不願意聽到的，但卻是絕對不可以忽視的。

Verton說，“對於這種員工而言，有一定的心理方面的問題值得你認真考慮。他們可能會說，'這家公司並不知道其所作所為。'他們認為自己掌握了你的網絡系統。對於這種員工而言，如果你要減少規模或者臨時解雇員工的話，他們是成熟的。如果他們在你的名單中的話，那麼在你進行計劃的時候，這個方面一個考慮的要素。”

Verton說，數據必須加強保護，即使它處於外圍防護帶（例如防火牆）之內的話。他說，公司們不能依賴於嚴格的數據訪問控制。專家說，即使是一種非常強大的外圍安全性策略也不可能完全的保證和維持安全性。

“你擁有一些普通的員工，他們是忠實的，但是他們可能采取了一種不合理的數據處理方式，從而使得整個企業都處於一種無保護的狀態。”例如，他們可能使用基於網絡的電子郵件以發送關於賬戶等的客戶信息，即使公司的政策要求發送這種信息需要通過加密電子郵件。此時，對於那些可以穿透該公司外圍安全性防護的病毒或者木馬程序等就可以獲取這種信息。

Verton說，“這就要求創建一種企業安全性文化。”

Verton說，公司部門需要采取有效的安全性政策。這意味著，，需要鑒定關鍵數據資產，授權網絡系統以及設備等。他們必須將這些政策和程序進行文件化，從而嚴管數據的訪問以及接收。

他說，組織部門還必須按時的對欺詐性無線訪問點以及未授權的軟件進行掃描。他們必須嚴格有效的監控各種網絡功能的使用，例如，網絡電子郵件，FTP，即時消息工具，自動化病毒升級，漏洞掃描以及補丁修復等。他補充說，公司們還應該鑒別和關閉所有不必要的進程，並對安全性設置的變動進行自動化的檢測。

美國的一家主要零售商的安全部門的IT行政者，他說，忠實的內部人員所產生的安全性風險正處於不斷的增長趨勢。他說，這種人員與惡意的內部員工同樣的普遍。

這名行政者說，“現在情況是，技術已經牢固的嵌入商務之中，人們使用技術作為他們日常工作的一部分，他們對此並不進行認真的思考和防護，例如向某個廠家發送帶有敏感信息的電子郵件時。”

分析人士說，關注和了解程度的增強可以大大減少非惡意的風險。他說，“從IT的立場來看，唯一的方法就是，設置清晰的政策，以區分正確的以及不合理的工作方式。這是我們公司所認為的值得堅持的一些比較好的策略方法。”