嘉哲的翻譯／寫作作品集

如同擦玻璃一樣，資訊安全作業是件吃力不討好的工作，因為其他人只會注意你沒做到的部份。但在虛擬化、智慧手機充斥和雲端運算普及的時代裡，若要將資訊安全工作做好，您必須避免犯下技術和政治上的錯誤。尢其，更需避免以下的五種錯誤：

1. 用五年前的標準來思考企業組織的業務思維：

目前的情況己經完全不同。當公司有時在未知會你的情況下，允許員工在工作時使用個人的行動設備，同時將傳統的運算資源和應用程式推向雲端環境時，您的權力和影響力己經因門戶洞開而被大幅削減。您必須採取主動，配合資訊部門以外的其他部門，針對快速變遷的技術選擇，引進合理的安全作業流程。這是一項”不可能的任務” ，但這是你的工作。這項工作也包含了開發一套全新資訊安全作業準則，以便清楚地找出風險因素，避免錯誤的假設。

2. 無法和資訊與髙階經理人建立工作關係：

資訊安全管理部門相對於其他資訊部門而言，通常在編制上比較小。資訊安全管理必須依靠資訊人員才能完成基本的工作。資訊安全專業人員或許有他們的專案知識和滿口袋像 CISSP的專業證照，但這並不表示他們會得到同仁較高的尊敬或歡迎，因為做為資訊安全人員，經常對其他同仁的專案說＂不行＂，提出他們反對的意見。

另外，請不要認為權力結構中高階資訊主管永遠是最後的決策者。傳統認為資訊長CIO的角色是資訊專案的指揮官，但最近興起了基本性的變化，轉變成公司財務長才是最後決定資訊專案的決策者。但財務長對於資訊安全的概念，僅止於對於＂遵守規範＂的一般法律概念。資訊安全專案人員的工作必須不斷地進行溝通，溝通，再溝通。

3. 不了解虛擬化己經把每個人的資訊安全基礎像抽地毯一樣捲走

目前的企業組織己經針對伺服器基礎建設，完成了大約80%的虛擬化工作，同時對於桌上作業環境的虛擬化專案也在增加中。但是資訊安全管理卻落後許多，而這些問題均來自對於VLAN的不正確假設。事實上，虛擬化基礎建設改變了每一件事，也開啟了探索的新路徑。如同過去曾經在資訊產業所發生的經驗一樣，突破性的新技術開始應用之後，卻失去對資訊安全影響的注意。

某些傳統的資訊安全產品，例如防毒軟體，通常無法在虛擬的環境裡順利運作。然而實體的應用設備也可能會有新的〞盲點〞。直到現在，終於總算有專門針對虛擬環境的資訊安全產品問市；在此同時，資訊安全專業人員必須規劃任何所需使用的產品，同時確保資訊安全計畫隨著供應商如VMware(VMW)， 微軟和Citrix的產品不斷演進。虛擬化作業對改善資訊安全管理，特別是災難復原作業具有重大責任。

4. 對於資料洩漏問題           完全沒有準備

敏感的企業資料被竊取或是不小心被外洩出去，是資訊安全管理的惡夢。除了利用技術偵測和補救之外，企業也需要遵守資料外洩的相關法律規範。但是應該遵循那種法律規範？目前在美國幾乎各州都有各自的資料洩漏法律條文規範，例如HI-TECH 法案影響了某些產業，如醫療業等。當情況發生時，資料洩漏會成為公司的重大事件，同時也將是代價極高的事件，它需要資訊安全經理、資訊管理部門、法務部門、人力資源部門、和公共事務部門等各個部門的協調參與。企業應該規劃最差情境的應變計劃，並在內部進行資料洩漏演習作業。

5. 過度任信資訊安全供應商的產品和服務

企業和資訊與安全供應商維持穩固的“夥伴關係 “是十分必要的。但在任何供應商關係中存在的風險則是忘記如何用嚴格的角度來檢視產品功能和服務內容，特別是在組織擴編時對應競爭的關係，或是針對身份認證授權的基本問題採取新方法，資訊漏洞評估和惡意軟體防護等作業。許多供應商掙扎著將傳統的資訊安全管理方法套用在虛擬化領域和雲端運算環境中。從某些角度看來，目前的混亂正是資訊產業進行重組整頓的契機。不過那也表示資訊安全管理必須更努力，才能滿足企業組織目前或未來的需求。