Pauline Neville-Jones是由英國(guó)首相任命的負(fù)責(zé)網(wǎng)絡(luò)安全事務(wù)的特別代表。她的工作就是促成英國(guó)政府機(jī)構(gòu)與私人公司共同合作來保護(hù)整個(gè)英國(guó)IT關(guān)鍵基礎(chǔ)構(gòu)架不受網(wǎng)絡(luò)攻擊。在接受專訪時(shí),Neville-Jones談及了管理云服務(wù)對(duì)安全性標(biāo)準(zhǔn)的影響,以及為什么政府和企業(yè)必須更好的規(guī)劃IT企業(yè)的基礎(chǔ)架構(gòu)。
問:每當(dāng)涉及到安全問題,我們都能列出個(gè)技術(shù)譜系,一端是殺毒軟件另一端是各種異常復(fù)雜的安全工具——然后就是這部分中間地帶了。技術(shù)供應(yīng)商能夠?yàn)榧訌?qiáng)網(wǎng)絡(luò)安全做些什么呢?
Pauline Neville-Jones:我認(rèn)為當(dāng)你把市場(chǎng)上已經(jīng)眾所周知的某個(gè)東西放入一個(gè)能夠真正讓它起效的組織框架中時(shí),市場(chǎng)上存在的空白就被填補(bǔ)了。在底端,每個(gè)人都知道該如何參與進(jìn)來,你的那些反惡意軟件還有什么的,因?yàn)镮SP會(huì)幫你完成的。
在另一端,(公司)已經(jīng)與政府建立鏈接,并獲取到了有關(guān)未來面臨威脅的實(shí)時(shí)信息。而在中間地帶,當(dāng)然你已經(jīng)了解到了威脅信息,但你實(shí)際上只能依賴于你已知的技術(shù)和你的管理組織能力,這事關(guān)一個(gè)公司控制水平的成熟度。我認(rèn)為私立公司有成為自身顧問的可能。為幫助那些真正需要建議的公司,私立公司有大量工作可以做。
問:請(qǐng)問這是否是對(duì)預(yù)設(shè)安全理論的抨擊,該理論認(rèn)為安全性要從一開始就被完全設(shè)定好?
Neville-Jones:當(dāng)然是了。預(yù)設(shè)安全——這真是一個(gè)偉大的詞。顯然,如今的電腦比過去厲害多了?,F(xiàn)在管理云計(jì)算的公司必須為享受云服務(wù)的人們保障安全。為什么要使用云計(jì)算?使用它的原因是它能降低成本。你不可能阻止公司去嘗試做某件絕對(duì)正確的事情。與此同時(shí),你也不能過多的削減成本,以至于要忽略保證云計(jì)算在最后仍是推動(dòng)者而是風(fēng)險(xiǎn)的重要部分。
我認(rèn)為云管理和托管服務(wù)是非常重要的,前提是當(dāng)公司進(jìn)入一個(gè)托管的服務(wù)的情況下,他們要確保你(有)對(duì)供應(yīng)鏈做了足夠的工作,以確保它不會(huì)成為最弱一環(huán)。我認(rèn)為當(dāng)你做出這樣的決定時(shí),例如作為一個(gè)CEO ,你作出決定(使用云計(jì)算),但董事會(huì)持反對(duì)意見,這時(shí)候需要讓他們看到的就不僅僅是“我們正如何(努力的提高網(wǎng)絡(luò)安全?”而是“我們與所有與我們接觸的人我們交易的公司的關(guān)系如何? ”
問:考慮到你的項(xiàng)目狀態(tài)以及下一階段的計(jì)劃-也就是擴(kuò)張,你現(xiàn)在處在一個(gè)微妙的位置上。你覺得在擴(kuò)張規(guī)模方面最關(guān)鍵的挑戰(zhàn)是什么?是費(fèi)用嗎?
Neville-Jones:不,我真的不認(rèn)為會(huì)是費(fèi)用問題。好吧,是的,你是得花些錢, (但)我認(rèn)為總體來說要徹底說服公司把(錢花在提高網(wǎng)絡(luò)安全) 上不會(huì)很難,一旦他們真正理解了這個(gè)問題 - 實(shí)際上,不安全對(duì)公司的負(fù)面影響可能是非常巨大的。當(dāng)然還是會(huì)有一些公司,經(jīng)過各種計(jì)算并在后說,“我不打算花這個(gè)錢。我可以冒這個(gè)風(fēng)險(xiǎn)。”我想他們是還沒有意識(shí)到災(zāi)難的嚴(yán)重性。但是,我認(rèn)為這種態(tài)度正在慢慢的改變。
而且關(guān)于這個(gè)問題的股東意識(shí)也在增強(qiáng)。他們確實(shí)問到一些問題。在英國(guó),年度報(bào)告中對(duì)此進(jìn)行匯報(bào)正變得越來越有強(qiáng)制性;董事長(zhǎng)將就此承擔(dān)責(zé)任。所有這些東西都是原因而且正變成現(xiàn)實(shí)。
我認(rèn)為,接下來的任務(wù)就是要進(jìn)入一個(gè)尚未獲得足夠重視程度的領(lǐng)域,也就是......財(cái)富創(chuàng)造領(lǐng)域,因?yàn)榛A(chǔ)設(shè)施是創(chuàng)造財(cái)富的基礎(chǔ)。
這其中一部分問題實(shí)際上是理解他們之間的IT關(guān)系。其中一個(gè)關(guān)于基礎(chǔ)設(shè)施的問題是它多年來一直在增長(zhǎng)擴(kuò)大,在世界所有國(guó)家范圍內(nèi)。不同比特之間的鏈接是有其功能性的,但它們并未建立真正的映射,并沒有被完全徹底理解。其臨界性 - 真正重要的依存關(guān)系 - 在某些系統(tǒng)中可能已知,但這個(gè)知識(shí)并未被匯集起來。而它恰恰需要被匯集起來。這意味著還有很多的規(guī)劃性的工作要做。
問:我認(rèn)為現(xiàn)在很多人還不夠了解安全如何真正的創(chuàng)造業(yè)務(wù)價(jià)值。
Neville-Jones:是的,當(dāng)然不夠。我認(rèn)為核心觀念應(yīng)該是,整體業(yè)務(wù)是推動(dòng)者。對(duì)很多企業(yè)來說,尤其是規(guī)模較小的企業(yè),初始成本是個(gè)障礙。這就是......為什么我希望安全的成本能降下來。如果我們能夠找到更便宜的進(jìn)行安全控制的驗(yàn)證方式,因?yàn)樗F(xiàn)在非常耗時(shí)- 這將會(huì)是一件好事。