2011年1月25日，Forrester的VP和研究總監Khalid Kark在NetworkWorld上給企業和組織的CISO們提出了一份2011年的安全策略建議。【注：CNW上有一份中文譯文，不過譯文有若干處不達意:<】
Khalid Kark建議從三個方面進行考量：
1）更好的治理結構。尤其是在面對社交網絡、移動互聯網和云計算大勢所趨的情況下。應該主動的去考慮這些新技術對企業和組織的影響，制定一份可接受的風險管理策略。
2）更成熟的安全流程，尤其是針對數據保護的流程。這個流程相比之前的反應式的，要更加主動；不僅限于身份管理，更要做到信息與訪問控制管理；除了要有突發事件處理計劃，更重要地是要有一份健壯的安全破壞響應計劃。
3）更強大的分析與報告能力，重點是安全的可見性、可測量性（可度量性）和可決策性。其中，決策支持可以分為三個層次：運維的，風險的，以及以業務為中心的。每個層次都需要不同層次的數據提供支撐。
這里，我想對他提到的第三點多談一點自己的體會。
可見、可測量和可決策應該是安全管理的三個遞進和循環漸進的過程。正如西方管理學的普遍原則一樣：你無法描述就無法測量，而你無法管理和改進你無法測量的東西。描述->測量->管理也是一組遞進關系。暫且不論這種方式對于安全管理是否能夠真正有效，至少我們值得深入探討KarK及其Forrester的安全管理思想。
可以說，對于各級安全管理角色而言，都需要作出自己的安全決策，不論你是安全運維人員，或者是風險管理經理，抑或是領導層。
對于一二線的運維人員而言，SIEM應該是一個比較有效的分析工具，可以幫助他們看到重要的安全事件和突發事件。當然如果使用不當，可能適得其反，陷入事件的汪洋大海。對于風險管理經理而言，一套行之有效的風險管理流程和工具是有必要的。而對于高階的安全主管和領導層而言，必須知道IT風險之于企業和組織業務意味著什么，也就是業務風險。
在可見、可測和可決策三個環節種，最關鍵的是可測量，也就是安全測量，或者叫安全度量。安全測量也是可以分為不同層次的，對于運維人員，風險管理人員和決策層而言，有各自的測量數據和測量指標。在運維層，測量指標更加偏IT，而在決策層則更加偏業務。
最后，回到Kark的這個文章，正如他在開篇所述：Forrester's research shows that a majority of challenges for security professionals all relate to business orientation and alignment（安全專家們的主要挑戰都關乎業務——面向業務或者結合業務）。他舉例到：Many senior business and IT leaders are asking CISOs to better support and align with the business and IT objectives, requesting regular interactions and updates from security teams.

總結

以上是生活随笔為你收集整理的Forrester 2011年安全策略建议的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。