6 出钱保护数据, 否则后果自负 要说今年你在哪个方面投入不足,那就是信息保护。
一家《财富》100强公司不愿透露姓名的CSO说: “数据加密问题要比大多数人谈论的复杂得多。数据到处都是,未被识别,混合在一起。员工携带的个人移动设备或者家用电脑存放着机密信息,这显然违反了企业政策,但许多人甚至不知道有这种政策。我与多家公司的IT安全领导人交谈过,他们都告诉我,保护数据是其面临的最大挑战之一。不管是什么样的安全解决方案,都存在成本高昂、无法面面俱到的缺点。”
RSA公司负责企业解决方案的副总裁Dennis Hoffman也说: “管理人员认识到了这一事实,即IT安全是总体拥有成本管理不当的典范。长期以来,人们的重点放在基础设施上,其实应当放在信息上。大多数IT领导人不知道自己的信息在哪里,这就根本没法管理。”
合并是一种全局性解决方案,不过许多公司在这方面没有足够的预算。Hoffman说: “我们经常谈论服务器合并、数据合并、减少
数据中心以及
虚拟化技术,管理来自3个
数据中心的信息要比管理来自23个
数据中心的信息容易得多。”
补丁管理是许多公司在2007年可能预算不够的另一个方面。据赛门铁克公司的专家称,一个漏洞从宣布到相应补丁发布的天数平均是31天,而从漏洞宣布到恶意软件发布的天数平均是3天,这样暴露间隔就有28天。
应当制订全面的补丁管理方案,并坚持执行。据安全公司Secunia最近的测试表明,足足有35%的机器含有已知的应用漏洞。微软的Automatic Update似乎管用,不过其他程序也需要补丁帮助。譬如说,Firefox浏览器在30%以上的时间里面没有打补丁; 50%以上的Adobe用户在运行存在漏洞的版本。
说到保护企业安全,最棘手的事情是不知道从哪些方面着手。那家《财富》100强公司的CSO说: “每年我们都竭力进行新的风险评估,确保资源分配到了所需的地方。”
7 重视敏捷开发应用 企业会在今年投入过多的资金用于开发整体式应用,这种服务器端开发涉及正式需求,还会占用几十名(乃至几百名)设计员、程序员和测试员。要是使用脚本语言、Web服务和
SOA,把可以充分利用现有资产的基于浏览器的应用组合起来,大多数企业的处境就会好一些。
混合技术和
SOA是推动软件开发革命的两个因素,人们开始摒弃使用C++编写本地代码,不再构建许多行C#和Java受控代码。企业会聘请许多ASP.Net和JSP开发人员,但企业在获得JavaScript、Perl、PHP和Ruby等技能组合方面可能花费过少。如果结合使用合理的框架和组件套件,最近流行的脚本应用就会把软件开发小组变成企业IT部门中速度更快、成本更低、响应更及时的一支队伍。
在前端方面,这意味着基于AJAX的用户界面可以帮助员工提高工作效率。在后台,基于
SOA的混合应用可以消除大量的人工劳动,因为它能实现可靠、牢固、多对多的集成,可为多步骤事务提供可靠的性能、安全和支持。遗憾的是,许多企业在培训及聘请开发人员方面的费用不够多。
向使用脚本语言编程转变的同时,也应当摒弃正式需求,进而向敏捷开发过程转变。既要拥有精通敏捷开发技术的开发人员,也要具备扎实的项目管理技能。
2007年将被摒弃的还有传统测试模式——代码编完后才进行质量保证和安全验证。尽管如此,许多公司还是会把大量时间和资金用于传统测试,及通过打补丁来修补缺陷,因为没有足够资金用于在每个开发阶段都进行严格的漏洞和功能测试。传统的开发后验证测试仍然有必要,但如果在整个设计和编码过程中加入测试步骤,就可以大大缩短测试及修补周期,开发小组也能提高交付速度。
(c112)
|
服 务 CIO 推 进 信 息 化 
