您的位置: 网界网 > 周报全文 > 正文

[周报全文]安全业务外包安全吗?

2008年03月31日 16:02:31 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:安全业务外包为企业的IT部门提供了一个从繁重的日常工作中解脱出来的机会,然而,并非人人都希望如此。

标签
安全业务外包
 

安全业务外包为企业的IT部门提供了一个从繁重的日常工作中解脱出来的机会,然而,并非人人都希望如此。

【CNW.com.cn 专稿】谈到把安全业务外包,今天的很多用户仍然是持怀疑态度。想想看,要把维护网络设备、监测网络攻击、执行网络扫描、收集企业员工的登录信息,或为他们更新安全软件等任务交给一家外国公司去做,这等于是在把企业网络安全的控制权拱手让出,这种安全外包的想法会引发争议当然是在情理之中的。

分歧

对于安全业务外包,安全经理们产生了分歧,他们在安全外包对企业来说究竟是有益还是有害的问题上争论不休。按照支持者的说法,安全业务外包为企业的IT部门提供了一个从繁重的日常工作中解脱出来的机会,可以让它们去处理更为重要的战略性事务。而反对者则担心这种外包可能会让企业失去对安全风险的战略洞察力。因为外包企业只会机械地履行合同,而不会从战略高度去考虑安全问题。虽然外包是否能够节约成本也是一个颇有争议的问题,但安全控制毕竟是争议最大的问题。

看好安全外包的人说,此举能够把企业本就短缺的安全专家们解放出来,去从事更为重要的战略性工作,不必再整天埋头于日常的安全事务。

在荷兰全球金融服务公司ING的北美分公司负责IT风险管理的Andre Gold说:“我们要么就得招募更多的企业IT人员,要么就得通过安全外包解放出所需要的人手。”

Gold认为,像补丁、漏洞管理或防病毒等任务会消耗大量的人力,而如果把这些人力用于实现在线业务目标的战略性风险管理运营,结果会更好。

“我宁愿赶着ING的人走上外包这条路,”Gold说。预计ING很快就会选择一家安全外包服务商——有可能是在印度或其他国家的离岸外包商,并签署一份规模广泛的、长期的合同,为它们处理各种数据安全以及网络安全远程管理。

“我将此称之为正向安全外包。”Gold说,其实ING早已将一些IT维护和应用开发任务外包了。因此,他也一直认为安全外包不会对企业带来文化冲击。Gold预计安全外包最终能够证明要比单纯增加企业人手更有成本效益。但他说,节约成本并非做是安全外包的主要原因。

全球化工巨头ICI的首席信息安全官Paul Simmonds则说,他更倾向于坚持让企业内部人员从事安全管理,因为“一旦出现了安全问题,外包商能理解这些问题对企业会产生什么影响吗?我认为不能。”不过另一方面,Simmods也指出,ICI从服务商QualysMessageLabsScanSafe那里获得了“安全作为服务”的好处。这几家服务商为其提供从漏洞扫描到反恶意软件入侵等多项业务。

但是安全外包还是引发了众多的反对意见。

“我倾向于反对安全外包。”咨询公司SystemExperts的总裁Jon Gossels说。SystemExperts专门为企业提供安全战略咨询,重点在于法规遵从方面。

Gossels认为,外包应当仅限于一些“彼此不相干的业务”,比如登录监控或渗透检测。“我从未看到过大规模外包能够正常运转的。安全是运营企业业务的保障,你每天对企业IT基础设施所做的任何决策都有可能影响到企业的业务,我根本看不出企业如何能将这么重要的事情外包出去。”

这种看法目前似乎仍然是主流的观点。

美国计算机安全协会(CSI)去年末曾对479位企业安全专家做过调查,想看看有多少企业已将多大比例的企业安全功能外包了出去。结果有61%受访者——来自各行各业,有金融、运输、零售、教育、电信和政府部门的回答都是“没有”。

只有5%的受访者回答说把60%的安全业务外包了,仅有2%的企业的安全外包比例达到81%100%CSI调查的结论是,“虽然把某些安全业务外包肯定是有市场的(比如面向客户的Web应用的安全测试就是一例),但由于安全业务的特殊性质,以及企业需要拥有能够隔离对关键性企业资产的访问和使用能力,因此外包并不是很受欢迎,安全业务外包市场的整体增长并不明显。”

每年发布一次安全调查的CSI说,和安全外包相关的这些调查结果,三年来始终没有什么太大变化。

安全业务外包调查

怀疑

坦帕国际机场负责IT系统安全的经理Kate Mullin就对安全外包持怀疑态度。

坦帕机场IT系统的一些功能已经外包了,比如系统备份。同时还有合同保障(+微信关注网络世界),在出现需要支持的情形时,可及时呼叫支持人员到达现场。但是机场的IT系统是一个全天候运行的系统,自然需要机场自己的工程人员值守,以便监控网络安全和其他工作。因为“我们所做的决定都跟我们使用的系统有关,”Mullin说。“一旦出现状况,我们必须立即响应。”

为此目的,坦帕机场最近购买了一套被称为LogRhythm的登机和安全事件监控系统。

Mullin说,她对外部人员或设备总是持怀疑态度,尽管他们也可能会完成同样的安全监控和及时响应。

前不久在奥兰多举办的Infosec World展会上,很多安全经理对安全外包提出了自己的看法。

“我们每年要花费数百万美元让别人来监控我们的防火墙。”JPMorganIT风险管理副总裁Anish Bhimani说。“这到底给了我什么好处呢?”所以他们正在逐渐撤回一些外包的安全功能。

JPMorgan自己购买了防火墙监控、漏洞评估工具,通过工具的购买还撤回了其他一些安全功能,Bhimani说这样做似乎要比外包节省支出。

波音商用航空负责安全架构的Derek Schatz说,安全外包在他们公司并不普遍,因为想通过技术直接核实事件的愿望在公司中占有支配地位。“你必须把企业文化也考虑进来。”他说。

“整体外包,我可下不了决心。”Campbell汤剂公司高级IT安全经理Mark Grimmelikhuijsen说。他认为安全外包会引入新的不确定性,比如因安全问题而出现争执时,哪一方应负责任就会是一件扯不清的事情。

Avaya负责IT安全的高级经理Kevin McCaffery认为,为了提高效率而实行外包是“合理的”,但他也补充道:“你可以把一些功能外包,但你不能把监管任务也外包。”

监管是任何外包合同,包括安全在内的核心所在。基础外包合同应能确保“企业对外包流程拥有审计监督权,”保诚保险公司信息安全经理Kathy Kirk说。

外包厂商必须表明它们具备满足法规遵从目标的能力。如果你自己的组织必须符合例如支付卡行业数据安全准则的话,那么你所选择的外包商也应符合这些准则。Kirk说,企业必须要有一些手段能够监督外包商的行为,方能保障企业自身的利益。

有些企业依然在说,安全外包不是它们该想的事,因为它们自己的员工就似乎足可以管理安全问题了。

“我们把公司大量的业务都外包出去了,只有一件事我们不需要外包,那就是安全。”Paradigm投资公司的CTO Greg May说,该公司拥有并经营着美国南方90多家哈迪斯连锁快餐厅。(美国《Network World》供本报专稿)  

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]