文/Ronald Vaughn　Tammy Clark

坦帕大學(xué)：實現(xiàn)技術(shù)與信息安全之間的平衡

文/Ronald VaughnTammy Clark

編者按

如今，高等教育機構(gòu)領(lǐng)導(dǎo)者都面臨著巨大壓力，需要考慮如何應(yīng)對大學(xué)申請入學(xué)人數(shù)減少、如何面對技術(shù)創(chuàng)新及帶來的挑戰(zhàn)以及如何做出關(guān)鍵性的決策等問題。其中，最為迫切的需求就是如何如何確保信息技術(shù)與信息安全之間的平衡能夠持續(xù)得到調(diào)整，以便為整個機構(gòu)收集、處理和存儲的海量信息提供足夠的安全保障。本文原載于《EDUCAUSE Review》，兩位作者均來自美國坦帕大學(xué)，他們從工作實踐中找出了實現(xiàn)技術(shù)與信息安全之間平衡的關(guān)鍵點，而這常常是一種微妙的狀態(tài)。

隨著信息技術(shù)的爆炸式增長，主管信息技術(shù)的領(lǐng)導(dǎo)者不得不努力跟上其發(fā)展的步伐，在許多情況下，他們?nèi)蕴幱凇坝^趕上”狀態(tài)中。

持續(xù)的挑戰(zhàn)

由于機構(gòu)重大的漏洞的出現(xiàn)以及不斷升級的安全問題，使得機構(gòu)領(lǐng)導(dǎo)人需要做出更積極地響應(yīng)。如果沒有校園中的其他力量，如高級職員、行政部門和學(xué)術(shù)界的直接支持和參與，那么降低風(fēng)險以及防止出現(xiàn)重大安全事故等方面的努力和工作的效果可能會差得多。

前幾年，坦帕大學(xué)將信息安全事務(wù)交由業(yè)界領(lǐng)先的一個咨詢公司來打理，由咨詢公司負責(zé)審查安全控制問題，并就是否采取了足夠的安全措施或者是否存在需要解決的問題等提出建議。當(dāng)時，坦帕大學(xué)的信息技術(shù)領(lǐng)域還沒有正式運營信息安全計劃，人員只有有限的時間用于解決信息技術(shù)組織機構(gòu)內(nèi)存在的信息安全問題，在信息安全方面，沒有任何經(jīng)過認證的或者是有經(jīng)驗的工作人員。盡管在過去的幾年中，學(xué)校已經(jīng)在信息技術(shù)組織機構(gòu)內(nèi)取得了不少進步，如采取了防火墻、病毒防護及其他必要的限制措施，但顯然機構(gòu)在解決安全風(fēng)險以應(yīng)對現(xiàn)今面臨的安全環(huán)境挑戰(zhàn)方面未取得大的進展。

咨詢公司建議學(xué)?？煽紤]聘請一位首席信息安全官（CISO）在組織機構(gòu)之外來報告有關(guān)事項，以確保各信息技術(shù)優(yōu)先級之間的適當(dāng)平衡，其前提是避免中斷服務(wù)或延遲實施技術(shù)解決方案，以及基于積極主動解決安全風(fēng)險、合規(guī)挑戰(zhàn)、機構(gòu)信息完整性與機密性威脅的關(guān)鍵需求。

在決定報告結(jié)構(gòu)的過程中，我們爭論是否將首席信息安全官（CISO）置于首席財務(wù)官（CFO）、首席信息官（CIO）或院長之下。當(dāng)時，院長Ronald Vaughn已經(jīng)意識到，坦帕大學(xué)面臨重大的機構(gòu)性信息安全風(fēng)險，他認為，傳統(tǒng)信息技術(shù)行業(yè)對安全問題的響應(yīng)是不夠的，學(xué)校的專業(yè)信息安全知識水平相當(dāng)薄弱。基于咨詢公司的建議及其報告中所述的主要問題，他決定CISO職位（像CIO那樣）直接向院長報告，這樣使得關(guān)鍵的機構(gòu)性問題能夠快速往前推進。

隨后，學(xué)校聘請Tammy Clark擔(dān)任首席信息安全官（CISO），成為高級管理團隊的一員，以確保必要的視角寬度和影響力，來實現(xiàn)整個機構(gòu)的信息安全計劃目標。

開展有效協(xié)作

一年多前，坦帕大學(xué)正式確定信息安全辦公室作為一個獨立的機構(gòu)。Clark及其團隊還負責(zé)管理信息安全技術(shù)解決方案，并實施了一系列關(guān)鍵的組成部件，包括網(wǎng)絡(luò)安全解決方案、脆弱性與滲透性測試、取證、數(shù)據(jù)丟失防護、數(shù)據(jù)加密、移動/ BYOD以及電子郵件安全解決方案。

為了學(xué)校利益，Clark和CIO一起負責(zé)協(xié)作的有效開展。CISO組織機構(gòu)和CIO組織機構(gòu)的目標和目的必須共同支持學(xué)校的發(fā)展目標，要求兩位領(lǐng)導(dǎo)人提供證據(jù)，表明他們正在有序地、積極地擴大合作成果和影響。信息技術(shù)職員與信息安全職員之間在所有層面的密切協(xié)作，將使這種安排良好運轉(zhuǎn)。

去年，新的信息安全辦公室負責(zé)管理了一個數(shù)據(jù)保護倡議，涉及與所有校園行政部門和學(xué)術(shù)領(lǐng)導(dǎo)人的會議及后續(xù)行動，以提高安全意識、改進信息處理方法、提供第三方監(jiān)督和合同評審、確保符合監(jiān)管要求為核心，通過研討會、內(nèi)部公報、在線安全意識培訓(xùn)等形式，幫助培訓(xùn)了更多的員工和教師。Clark在整個大學(xué)內(nèi)開展一次正式的風(fēng)險評估活動，從而檢查業(yè)務(wù)流程和信息處理情況，以及信息技術(shù)基礎(chǔ)設(shè)施中存在的漏洞和薄弱環(huán)節(jié)。在信息技術(shù)組織機構(gòu)領(lǐng)導(dǎo)下，還開展了一項ERP倡議；此外，如何全面考慮安全風(fēng)險和控制，也是我們討論的一個關(guān)鍵問題。

在過去的兩年中，不論是在信息技術(shù)組織機構(gòu)內(nèi)，還是在信息安全組織機構(gòu)內(nèi)，都發(fā)生了許多積極的變化。在許多方面，我們看到了一種非?；パa互益的方法，對讓CISO在信息技術(shù)組織機構(gòu)外報告的決定進行了驗證。盡管常常因為學(xué)校利益做出妥協(xié)，但信息安全已經(jīng)迅速成為一個重要的考慮因素。坦帕大學(xué)的學(xué)生、員工和教師都有權(quán)獲得一個高質(zhì)量的教育和工作環(huán)境，我們也正在盡最大的努力保護他們的信息。

（翻譯：盛開）

無線網(wǎng)建設(shè)與管理