文/Ronald Vaughn　Tammy Clark

坦帕大學(xué)：實(shí)現(xiàn)技術(shù)與信息安全之間的平衡

文/Ronald VaughnTammy Clark

編者按

如今，高等教育機(jī)構(gòu)領(lǐng)導(dǎo)者都面臨著巨大壓力，需要考慮如何應(yīng)對(duì)大學(xué)申請(qǐng)入學(xué)人數(shù)減少、如何面對(duì)技術(shù)創(chuàng)新及帶來(lái)的挑戰(zhàn)以及如何做出關(guān)鍵性的決策等問(wèn)題。其中，最為迫切的需求就是如何如何確保信息技術(shù)與信息安全之間的平衡能夠持續(xù)得到調(diào)整，以便為整個(gè)機(jī)構(gòu)收集、處理和存儲(chǔ)的海量信息提供足夠的安全保障。本文原載于《EDUCAUSE Review》，兩位作者均來(lái)自美國(guó)坦帕大學(xué)，他們從工作實(shí)踐中找出了實(shí)現(xiàn)技術(shù)與信息安全之間平衡的關(guān)鍵點(diǎn)，而這常常是一種微妙的狀態(tài)。

隨著信息技術(shù)的爆炸式增長(zhǎng)，主管信息技術(shù)的領(lǐng)導(dǎo)者不得不努力跟上其發(fā)展的步伐，在許多情況下，他們?nèi)蕴幱凇坝^趕上”狀態(tài)中。

持續(xù)的挑戰(zhàn)

由于機(jī)構(gòu)重大的漏洞的出現(xiàn)以及不斷升級(jí)的安全問(wèn)題，使得機(jī)構(gòu)領(lǐng)導(dǎo)人需要做出更積極地響應(yīng)。如果沒(méi)有校園中的其他力量，如高級(jí)職員、行政部門和學(xué)術(shù)界的直接支持和參與，那么降低風(fēng)險(xiǎn)以及防止出現(xiàn)重大安全事故等方面的努力和工作的效果可能會(huì)差得多。

前幾年，坦帕大學(xué)將信息安全事務(wù)交由業(yè)界領(lǐng)先的一個(gè)咨詢公司來(lái)打理，由咨詢公司負(fù)責(zé)審查安全控制問(wèn)題，并就是否采取了足夠的安全措施或者是否存在需要解決的問(wèn)題等提出建議。當(dāng)時(shí)，坦帕大學(xué)的信息技術(shù)領(lǐng)域還沒(méi)有正式運(yùn)營(yíng)信息安全計(jì)劃，人員只有有限的時(shí)間用于解決信息技術(shù)組織機(jī)構(gòu)內(nèi)存在的信息安全問(wèn)題，在信息安全方面，沒(méi)有任何經(jīng)過(guò)認(rèn)證的或者是有經(jīng)驗(yàn)的工作人員。盡管在過(guò)去的幾年中，學(xué)校已經(jīng)在信息技術(shù)組織機(jī)構(gòu)內(nèi)取得了不少進(jìn)步，如采取了防火墻、病毒防護(hù)及其他必要的限制措施，但顯然機(jī)構(gòu)在解決安全風(fēng)險(xiǎn)以應(yīng)對(duì)現(xiàn)今面臨的安全環(huán)境挑戰(zhàn)方面未取得大的進(jìn)展。

咨詢公司建議學(xué)?？煽紤]聘請(qǐng)一位首席信息安全官（CISO）在組織機(jī)構(gòu)之外來(lái)報(bào)告有關(guān)事項(xiàng)，以確保各信息技術(shù)優(yōu)先級(jí)之間的適當(dāng)平衡，其前提是避免中斷服務(wù)或延遲實(shí)施技術(shù)解決方案，以及基于積極主動(dòng)解決安全風(fēng)險(xiǎn)、合規(guī)挑戰(zhàn)、機(jī)構(gòu)信息完整性與機(jī)密性威脅的關(guān)鍵需求。

在決定報(bào)告結(jié)構(gòu)的過(guò)程中，我們爭(zhēng)論是否將首席信息安全官（CISO）置于首席財(cái)務(wù)官（CFO）、首席信息官（CIO）或院長(zhǎng)之下。當(dāng)時(shí)，院長(zhǎng)Ronald Vaughn已經(jīng)意識(shí)到，坦帕大學(xué)面臨重大的機(jī)構(gòu)性信息安全風(fēng)險(xiǎn)，他認(rèn)為，傳統(tǒng)信息技術(shù)行業(yè)對(duì)安全問(wèn)題的響應(yīng)是不夠的，學(xué)校的專業(yè)信息安全知識(shí)水平相當(dāng)薄弱。基于咨詢公司的建議及其報(bào)告中所述的主要問(wèn)題，他決定CISO職位（像CIO那樣）直接向院長(zhǎng)報(bào)告，這樣使得關(guān)鍵的機(jī)構(gòu)性問(wèn)題能夠快速往前推進(jìn)。

隨后，學(xué)校聘請(qǐng)Tammy Clark擔(dān)任首席信息安全官（CISO），成為高級(jí)管理團(tuán)隊(duì)的一員，以確保必要的視角寬度和影響力，來(lái)實(shí)現(xiàn)整個(gè)機(jī)構(gòu)的信息安全計(jì)劃目標(biāo)。

開(kāi)展有效協(xié)作

一年多前，坦帕大學(xué)正式確定信息安全辦公室作為一個(gè)獨(dú)立的機(jī)構(gòu)。Clark及其團(tuán)隊(duì)還負(fù)責(zé)管理信息安全技術(shù)解決方案，并實(shí)施了一系列關(guān)鍵的組成部件，包括網(wǎng)絡(luò)安全解決方案、脆弱性與滲透性測(cè)試、取證、數(shù)據(jù)丟失防護(hù)、數(shù)據(jù)加密、移動(dòng)/ BYOD以及電子郵件安全解決方案。

為了學(xué)校利益，Clark和CIO一起負(fù)責(zé)協(xié)作的有效開(kāi)展。CISO組織機(jī)構(gòu)和CIO組織機(jī)構(gòu)的目標(biāo)和目的必須共同支持學(xué)校的發(fā)展目標(biāo)，要求兩位領(lǐng)導(dǎo)人提供證據(jù)，表明他們正在有序地、積極地?cái)U(kuò)大合作成果和影響。信息技術(shù)職員與信息安全職員之間在所有層面的密切協(xié)作，將使這種安排良好運(yùn)轉(zhuǎn)。

去年，新的信息安全辦公室負(fù)責(zé)管理了一個(gè)數(shù)據(jù)保護(hù)倡議，涉及與所有校園行政部門和學(xué)術(shù)領(lǐng)導(dǎo)人的會(huì)議及后續(xù)行動(dòng)，以提高安全意識(shí)、改進(jìn)信息處理方法、提供第三方監(jiān)督和合同評(píng)審、確保符合監(jiān)管要求為核心，通過(guò)研討會(huì)、內(nèi)部公報(bào)、在線安全意識(shí)培訓(xùn)等形式，幫助培訓(xùn)了更多的員工和教師。Clark在整個(gè)大學(xué)內(nèi)開(kāi)展一次正式的風(fēng)險(xiǎn)評(píng)估活動(dòng)，從而檢查業(yè)務(wù)流程和信息處理情況，以及信息技術(shù)基礎(chǔ)設(shè)施中存在的漏洞和薄弱環(huán)節(jié)。在信息技術(shù)組織機(jī)構(gòu)領(lǐng)導(dǎo)下，還開(kāi)展了一項(xiàng)ERP倡議；此外，如何全面考慮安全風(fēng)險(xiǎn)和控制，也是我們討論的一個(gè)關(guān)鍵問(wèn)題。

在過(guò)去的兩年中，不論是在信息技術(shù)組織機(jī)構(gòu)內(nèi)，還是在信息安全組織機(jī)構(gòu)內(nèi)，都發(fā)生了許多積極的變化。在許多方面，我們看到了一種非?；パa(bǔ)互益的方法，對(duì)讓CISO在信息技術(shù)組織機(jī)構(gòu)外報(bào)告的決定進(jìn)行了驗(yàn)證。盡管常常因?yàn)閷W(xué)校利益做出妥協(xié)，但信息安全已經(jīng)迅速成為一個(gè)重要的考慮因素。坦帕大學(xué)的學(xué)生、員工和教師都有權(quán)獲得一個(gè)高質(zhì)量的教育和工作環(huán)境，我們也正在盡最大的努力保護(hù)他們的信息。

（翻譯：盛開(kāi)）

無(wú)線網(wǎng)建設(shè)與管理