日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
(ISC)2首席執(zhí)行官:云計(jì)算行業(yè)正面臨顛覆性的變化

在2016年的(ISC)2亞太信息安全峰會(huì)上,(ISC)2首席執(zhí)行官David Shearer先生接受了記者的采訪,分享了自己對(duì)于信息安全行業(yè)未來(lái)變化趨勢(shì)的展望。在Shearer先生看來(lái),各國(guó)政府與公民對(duì)于個(gè)人數(shù)據(jù)的保護(hù)意識(shí)在增強(qiáng),而這將可能會(huì)深刻的影響信息安全行業(yè)、云計(jì)算行業(yè)乃至整個(gè)IT行業(yè)未來(lái)的格局。

以下為采訪實(shí)錄。

:您之前提到過(guò)安全領(lǐng)域的人才狀況,說(shuō)我們將會(huì)面臨嚴(yán)峻的安全人才短缺的問(wèn)題。這是一個(gè)全球性的現(xiàn)象嗎?

David Shearer:是的,這是一個(gè)全球性的現(xiàn)象。我們每?jī)赡觊_(kāi)展一次《全球信息安全人力研究》調(diào)查(Global Information Security Workforce Study),2015年的研究報(bào)告采集到將近14000份問(wèn)卷回復(fù),這份樣本的平均年齡是42歲,而30歲以下的人群僅占總?cè)藬?shù)的6%。

導(dǎo)致這一現(xiàn)象的原因仍然有待研究。在美國(guó)的情況是,這幾年從大學(xué)的計(jì)算機(jī)科學(xué)系畢業(yè)的學(xué)生越來(lái)越少,這可能影響到進(jìn)入信息安全行業(yè)的畢業(yè)生的人數(shù)。然而在亞太區(qū),計(jì)算機(jī)科學(xué)系的優(yōu)秀畢業(yè)生一直都是非常多的,但愿意進(jìn)入安全行業(yè)的年輕人還是不多,所以在亞太區(qū)可能有一些其他的原因。

我想,這可能跟我們傳達(dá)的信息還不夠有關(guān)。我們是否讓年輕人認(rèn)識(shí)到,信息安全行業(yè)是一個(gè)充滿(mǎn)刺激的領(lǐng)域?這個(gè)行業(yè)可以一直做到老?是否讓他們對(duì)這個(gè)行業(yè)產(chǎn)生興趣?

總之,這的確是一個(gè)全球性的現(xiàn)象,所以我們才要召開(kāi)更多這樣的活動(dòng),向年輕人們傳遞這些信息。

:人才短缺的現(xiàn)象是否也在整個(gè)行業(yè)內(nèi)的不同領(lǐng)域普遍存在呢?比如,我們是更加缺乏業(yè)務(wù)安全咨詢(xún)方面的人才?還是系統(tǒng)運(yùn)維安全方面的?或者是網(wǎng)站應(yīng)用安全方面的?

David Shearer:你的問(wèn)題涉及到我一直以來(lái)強(qiáng)調(diào)的一個(gè)觀點(diǎn),那就是信息安全從業(yè)人員必須要能夠跨界。你想要學(xué)習(xí)軟件安全,你就必須了解編程。你要做醫(yī)療安全,就必須了解患者醫(yī)療記錄這種信息的獨(dú)特性。

從統(tǒng)計(jì)的數(shù)據(jù)來(lái)看,我們看到更多的短缺來(lái)自入門(mén)級(jí)別的崗位,這與剛才我們提到的這個(gè)行業(yè)缺乏年輕人是有所關(guān)聯(lián)的。入門(mén)級(jí)別的崗位需求比較廣泛,需要從業(yè)者掌握更加寬泛的一系列技能。而另一方面,一些專(zhuān)業(yè)性很強(qiáng)的領(lǐng)域也有明顯的短缺,比如滲透測(cè)試(pentesting)、防火墻等,但總體來(lái)說(shuō)各個(gè)方面都呈現(xiàn)人才短缺的現(xiàn)象。

(ISC)2擁有超過(guò)115,000名認(rèn)證會(huì)員,由遍布在160多個(gè)國(guó)家和地區(qū)的網(wǎng)絡(luò)(Cyber)、信息(Information)、軟件(Software)與基礎(chǔ)設(shè)施(Infrastructure)安全專(zhuān)業(yè)人士組成。我們關(guān)心的是一切種類(lèi)的信息安全,這也包含以物理形式存在的信息。這在現(xiàn)在世界上很多地方還很常見(jiàn),比如在醫(yī)院或者是律師行,里面的很多內(nèi)容還是沒(méi)有數(shù)字化的,這些信息的安全我們一直在關(guān)注?,F(xiàn)在的大趨勢(shì)是一切信息都在數(shù)字化,所以網(wǎng)絡(luò)的重要性越來(lái)越強(qiáng)。然而在一切信息都數(shù)字化之前,信息安全仍然是一個(gè)更加廣泛的工作,并不單純是技術(shù)層面的事情。

無(wú)論是任何形式的信息安全,其目的都是對(duì)信息進(jìn)行價(jià)值評(píng)估,并且確保其收到保護(hù)、不會(huì)丟失或者被盜。技術(shù)只是實(shí)現(xiàn)該目的的一種手段。

:現(xiàn)在云計(jì)算是大趨勢(shì),而基礎(chǔ)架構(gòu)的云化似乎有一個(gè)趨勢(shì),就是信息越來(lái)越多的集中在全世界少數(shù)幾個(gè)公司的數(shù)據(jù)中心里面(而不是自家的硬盤(pán)里)。這是否意味著我們未來(lái)將會(huì)只需要這幾個(gè)公司的安全團(tuán)隊(duì)來(lái)保護(hù)所有人的數(shù)據(jù)?

David Shearer:我們跟云安全聯(lián)盟(Cloud Security Alliance)聯(lián)合推出了云計(jì)算安全認(rèn)證CCSP,因?yàn)樗麄冊(cè)谠朴?jì)算領(lǐng)域的研究非常收到業(yè)內(nèi)的尊重,他們了解云計(jì)算行業(yè)的變化趨勢(shì)以及云計(jì)算解決方案和云服務(wù)的變化趨勢(shì)。

的確,很多公司正在往云計(jì)算平臺(tái)移動(dòng),在這個(gè)過(guò)程中,他們從“投資硬件模式”轉(zhuǎn)換為“運(yùn)維投入模式”??雌饋?lái),似乎是有可能呈現(xiàn)“集中的安全團(tuán)隊(duì)”這樣的趨勢(shì)。

然而,歐盟推出了GDPR條例(General Data Protection Regulation,《通用數(shù)據(jù)保護(hù)條例》),這一條例正在個(gè)人隱私層面和數(shù)據(jù)主權(quán)層面改變著世界。GDPR關(guān)注個(gè)人數(shù)據(jù)的流向,要求存儲(chǔ)個(gè)人數(shù)據(jù)的企業(yè)為這些數(shù)據(jù)提供保障:即如果你的業(yè)務(wù)涉及歐盟公民的個(gè)人數(shù)據(jù),則這些數(shù)據(jù)不可以離開(kāi)歐盟境內(nèi)。這對(duì)于云計(jì)算服務(wù)商而言可以說(shuō)是一條顛覆性的法規(guī)。

我認(rèn)為GDPR的推出會(huì)導(dǎo)致更多的合作,即全球的前三大或五大的云計(jì)算服務(wù)商將更多的跟本地公司合作,或者是并購(gòu),從而形成本地化的云計(jì)算服務(wù)。

至于這樣的趨勢(shì)會(huì)形成更大更集中的安全團(tuán)隊(duì),還是會(huì)使得安全從業(yè)人員更加分散,仍然有待觀察。在我個(gè)人看來(lái),如果那些巨頭們以并購(gòu)為主要的手段,那么安全團(tuán)隊(duì)可能會(huì)趨于集中,反之則可能趨于分散。無(wú)論如何,GDPR還有兩年的強(qiáng)制執(zhí)行期限,所以還需要時(shí)間的驗(yàn)證。

所以,云計(jì)算安全原本就是一個(gè)相當(dāng)復(fù)雜的話(huà)題,而現(xiàn)在有了GDPR的介入,事情開(kāi)始變得更加復(fù)雜。

我們這個(gè)行業(yè)很少有什么東西會(huì)變得更簡(jiǎn)單。在以前,可能大家想到信息保護(hù)首先會(huì)想到數(shù)據(jù)中心內(nèi)部的保護(hù)。然而在今天,個(gè)人信息在網(wǎng)絡(luò)上到處流轉(zhuǎn),GDPR要求你存儲(chǔ)在某國(guó)的個(gè)人數(shù)據(jù)不能離開(kāi)某國(guó),而且當(dāng)用戶(hù)離開(kāi)該系統(tǒng)時(shí)確保其信息從系統(tǒng)中清理。從目的的角度來(lái)看,這是將用戶(hù)的個(gè)人信息的支配權(quán)重新還給用戶(hù),強(qiáng)制性的確保個(gè)人信息得到正確的處理,然而這其中的執(zhí)行會(huì)有很大的挑戰(zhàn)。

GDPR現(xiàn)在只是在歐盟內(nèi)部推行,不過(guò)我們可能會(huì)看到此類(lèi)法規(guī)開(kāi)始在全球蔓延。

:那么目前來(lái)看,是否有一些新創(chuàng)的公司來(lái)嘗試處理這方面的要求?或者是傳統(tǒng)的公司在這方面更加積極?

David Shearer:我認(rèn)為這兩個(gè)問(wèn)題的答案都是肯定的。沒(méi)有任何人可以忽視這個(gè)法規(guī)的推進(jìn),即使你是百年老店,也必須要遵從這些法規(guī)。

到目前為止,我還沒(méi)見(jiàn)到很多新創(chuàng)的公司在處理此類(lèi)問(wèn)題,畢竟GDPR條例的通過(guò)也不過(guò)是幾個(gè)月之前的事情。不過(guò)正如我上面所說(shuō),我們應(yīng)該會(huì)看到大量的合作。

:數(shù)據(jù)泄露可能發(fā)生在Web應(yīng)用層面,也可能發(fā)生在硬件的層面。作為業(yè)務(wù)的所有人,面對(duì)如此多可能發(fā)生數(shù)據(jù)泄漏的點(diǎn),要如何盡可能的將問(wèn)題簡(jiǎn)化?

David Shearer:對(duì)于業(yè)務(wù)的所有人,我經(jīng)常強(qiáng)調(diào)的一點(diǎn)是,有關(guān)數(shù)據(jù)保護(hù)最根本的事情就是建立起清晰的“信息資產(chǎn)清單”(inventory)。

信息資產(chǎn)清單首先關(guān)注的是你所掌握的信息:涉及你業(yè)務(wù)知識(shí)產(chǎn)權(quán)的信息有哪些?涉及用戶(hù)個(gè)人可識(shí)別信息(Personal Identifiable Information,PII)的信息有哪些?根據(jù)相應(yīng)的評(píng)估(隱私影響力評(píng)估,privacy impact assessment),不同級(jí)別的信息需要不同的控制強(qiáng)度。這個(gè)階段的工作是最基本的,而這并不涉及技術(shù)層面的堆棧,數(shù)據(jù)在上層還是底層是之后才考慮的事情。

首先為你的信息重要性做好上述評(píng)估,需要怎樣的控制強(qiáng)度,然后根據(jù)其所需的控制強(qiáng)度,安排它們存儲(chǔ)在哪里,如何存儲(chǔ),如何流轉(zhuǎn),需要怎樣的加密等等這些技術(shù)細(xì)節(jié)。

數(shù)據(jù)的流動(dòng)是個(gè)復(fù)雜的問(wèn)題,尤其是在移動(dòng)設(shè)備如此普及的今天,有關(guān)個(gè)人信息的控制充滿(mǎn)挑戰(zhàn)。就GDPR而言,如果你的企業(yè)達(dá)不到其要求,你的企業(yè)最終會(huì)面臨一系列的處罰。

如果你的業(yè)務(wù)是開(kāi)發(fā)應(yīng)用,那么在設(shè)計(jì)階段就需要將用戶(hù)場(chǎng)景考慮在內(nèi),搞清楚使用過(guò)程中涉及了哪些人,他們之間如何互相通訊,當(dāng)中的數(shù)據(jù)如果有法規(guī)要求予以保護(hù)的,則需要被標(biāo)記并予以恰當(dāng)?shù)奶幚恚绮荒芰鞒鰵W盟,以及用戶(hù)退出之后需要將其數(shù)據(jù)刪除等等。

很多人都在研究GDPR對(duì)自己的業(yè)務(wù)可能造成的影響。雖然該法規(guī)現(xiàn)在僅限于歐盟,而全球還沒(méi)有統(tǒng)一的類(lèi)似限制,但即使你今天的業(yè)務(wù)跟歐盟沒(méi)有關(guān)系,也不排除你未來(lái)的業(yè)務(wù)不會(huì)受到相應(yīng)的影響。也許到某一天,你的業(yè)務(wù)是否能夠成熟的處理數(shù)據(jù)主權(quán)的問(wèn)題,可能會(huì)成為對(duì)方采購(gòu)時(shí)考慮的因素之一。早點(diǎn)做好準(zhǔn)備總是沒(méi)錯(cuò)的。

:最后,對(duì)于您之前提到的入門(mén)級(jí)安全從業(yè)人員短缺的問(wèn)題,能夠給想要進(jìn)入該行業(yè)的、但是還沒(méi)有從業(yè)經(jīng)驗(yàn)的年輕人們提供一些建議嗎?

David Shearer:我可以推薦我們(ISC)2的準(zhǔn)會(huì)員計(jì)劃(Associate Program)。大家都知道像是我們的CISSP認(rèn)證是要求很高的,首先你得有五年的業(yè)內(nèi)經(jīng)驗(yàn),然后通過(guò)考試,才能成為會(huì)員。還有像是面向IT系統(tǒng)與基礎(chǔ)設(shè)施管理的SSCP,也需要一年的從業(yè)經(jīng)驗(yàn)。

而準(zhǔn)會(huì)員計(jì)劃則是,即使你沒(méi)有過(guò)從業(yè)經(jīng)驗(yàn),也可以通過(guò)考試而成為我們的準(zhǔn)會(huì)員。以準(zhǔn)會(huì)員的身份參與業(yè)內(nèi)的工作積累經(jīng)驗(yàn),比如CISSP需要六年,SSCP需要兩年;同時(shí)在這段期間,你一直維持你的認(rèn)證以證明你正在不斷的更新你的知識(shí)積累。那么當(dāng)時(shí)間要求達(dá)到的時(shí)候,你就從準(zhǔn)會(huì)員成為了正式的會(huì)員。

準(zhǔn)會(huì)員計(jì)劃不僅適合那些畢業(yè)生們,同時(shí)也適合那些希望從其他行業(yè)轉(zhuǎn)到安全行業(yè)的人們。這可以給他們一個(gè)很好的過(guò)渡。

準(zhǔn)會(huì)員計(jì)劃并不意味著我們希望降低認(rèn)證的標(biāo)準(zhǔn),我們將一直用高水準(zhǔn)的標(biāo)準(zhǔn)來(lái)要求我們的會(huì)員,確保他們是專(zhuān)業(yè)的行業(yè)實(shí)踐者。通過(guò)準(zhǔn)會(huì)員計(jì)劃,我們希望能夠提供多一種途徑,幫助更多的人成為安全領(lǐng)域的專(zhuān)家。而需要安全人才的企業(yè),也可以從中吸納到一些新鮮的血液。

:好的,我的問(wèn)題就這些。謝謝Shearer先生接受我們的采訪!


網(wǎng)站標(biāo)題:(ISC)2首席執(zhí)行官:云計(jì)算行業(yè)正面臨顛覆性的變化
本文地址:http://www.dlmjj.cn/article/djgchco.html