不要对外包失去控制
两三年之后,你愿意看见你公司的IT安全失去控制吗?你愿意看到代价高昂的预防措施全部启动吗,你愿意总是缺乏准备的处理紧急事件吗?
试一下外包。
我所要讲的不是外包好处之类的细节问题,而是整个IT-网络计算环境的外包。
已经几个大公司将除应用本身之外的网络系统移交给第三方公司,由后者负责系统运营、规程和技术支持;外包可以为公司降低很多成本,但是它可能让公司失去对于IT安全的控制。
&长春治疗癫痫疾病的医院nbsp; 过去的几年里我们已经发现了许多问题,其中大多由于外包所引起的责属纠纷以及合同难以包天津癫痫病重点医院比较好括所有的费用所造成的。
外包商经常以最低标价来获得业务,然后通过改变订单来弥补;但是按照过去的方式运营IT安全系统并不能缩减成本,攻击威胁、系统的脆弱都在不断变化,你必须相应的改变基础设施。
一家公司的外包商也许善于处理意外,但是对于意外后的总结起不了作用;适应性再一次降低。另外一家公司有些业务单元外包了,有些没有,而一些病毒存在位置的模糊使得反应复杂化。
服务等级协议可能会与安全性冲突。现代组织不再仅仅依赖一个防火墙,大规模网络一般按照托管时区分成几个具有不同连接需求和风险水平的分离系统。但是一个签署了仅仅基于性能的服务水平合同的外包商将会拒绝新区域的产生,而时区划分的缺乏将会使你的网络面临不断出现的威胁。
一家公司可以放弃对于公司的控制,但是它不能转移对于股东的责任。如果秘密方程式或者其它的专利资料落入竞争对手的手中,抑或材料的缺失违反了SOA法案,那么谴责外包商就于事无补了。
当你打算外包或企图重新加强对于外包的控制,要记得对于安全性的考哪家医院看癫痫病好虑;完全清晰的定义安全相关的角色与责任;在服务等级协议中明确指出安全性目标:完整性、保密性、可用性和可说明性,并进行控制;要求足够的冗余;要求分析产品功能和人员责任以防止一般模式的失败。保有对于外包商环境的监控和审计能力,能自主的检验目标的完成情况。除了日常的运营和维护,要求外包商为意外事件总结和预防设施的战略改变提供支持。
但是等等,要做的事情还有很多。即使你正在使用服务等级协议的IT基础库,也不要指望靠它来获得安全性。