坦帕大学：实现技术与信息安全之间的平衡

文/Ronald Vaughn　Tammy Clark

坦帕大学：实现技术与信息安全之间的平衡

文/Ronald VaughnTammy Clark

编者按

如今，高等教育机构领导者都面临着巨大压力，需要考虑如何应对大学申请入学人数减少、如何面对技术创新及带来的挑战以及如何做出关键性的决策等问题。其中，最为迫切的需求就是如何如何确保信息技术与信息安全之间的平衡能够持续得到调整，以便为整个机构收集、处理和存储的海量信息提供足够的安全保障。本文原载于《EDUCAUSE Review》，两位作者均来自美国坦帕大学，他们从工作实践中找出了实现技术与信息安全之间平衡的关键点，而这常常是一种微妙的状态。

随着信息技术的爆炸式增长，主管信息技术的领导者不得不努力跟上其发展的步伐，在许多情况下，他们仍处于“迎头赶上”状态中。

持续的挑战

由于机构重大的漏洞的出现以及不断升级的安全问题，使得机构领导人需要做出更积极地响应。如果没有校园中的其他力量，如高级职员、行政部门和学术界的直接支持和参与，那么降低风险以及防止出现重大安全事故等方面的努力和工作的效果可能会差得多。

前几年，坦帕大学将信息安全事务交由业界领先的一个咨询公司来打理，由咨询公司负责审查安全控制问题，并就是否采取了足够的安全措施或者是否存在需要解决的问题等提出建议。当时，坦帕大学的信息技术领域还没有正式运营信息安全计划，人员只有有限的时间用于解决信息技术组织机构内存在的信息安全问题，在信息安全方面，没有任何经过认证的或者是有经验的工作人员。尽管在过去的几年中，学校已经在信息技术组织机构内取得了不少进步，如采取了防火墙、病毒防护及其他必要的限制措施，但显然机构在解决安全风险以应对现今面临的安全环境挑战方面未取得大的进展。

咨询公司建议学校可考虑聘请一位首席信息安全官（CISO）在组织机构之外来报告有关事项，以确保各信息技术优先级之间的适当平衡，其前提是避免中断服务或延迟实施技术解决方案，以及基于积极主动解决安全风险、合规挑战、机构信息完整性与机密性威胁的关键需求。

在决定报告结构的过程中，我们争论是否将首席信息安全官（CISO）置于首席财务官（CFO）、首席信息官（CIO）或院长之下。当时，院长Ronald Vaughn已经意识到，坦帕大学面临重大的机构性信息安全风险，他认为，传统信息技术行业对安全问题的响应是不够的，学校的专业信息安全知识水平相当薄弱。基于咨询公司的建议及其报告中所述的主要问题，他决定CISO职位（像CIO那样）直接向院长报告，这样使得关键的机构性问题能够快速往前推进。

随后，学校聘请Tammy Clark担任首席信息安全官（CISO），成为高级管理团队的一员，以确保必要的视角宽度和影响力，来实现整个机构的信息安全计划目标。

开展有效协作

一年多前，坦帕大学正式确定信息安全办公室作为一个独立的机构。Clark及其团队还负责管理信息安全技术解决方案，并实施了一系列关键的组成部件，包括网络安全解决方案、脆弱性与渗透性测试、取证、数据丢失防护、数据加密、移动/ BYOD以及电子邮件安全解决方案。

为了学校利益，Clark和CIO一起负责协作的有效开展。CISO组织机构和CIO组织机构的目标和目的必须共同支持学校的发展目标，要求两位领导人提供证据，表明他们正在有序地、积极地扩大合作成果和影响。信息技术职员与信息安全职员之间在所有层面的密切协作，将使这种安排良好运转。

去年，新的信息安全办公室负责管理了一个数据保护倡议，涉及与所有校园行政部门和学术领导人的会议及后续行动，以提高安全意识、改进信息处理方法、提供第三方监督和合同评审、确保符合监管要求为核心，通过研讨会、内部公报、在线安全意识培训等形式，帮助培训了更多的员工和教师。Clark在整个大学内开展一次正式的风险评估活动，从而检查业务流程和信息处理情况，以及信息技术基础设施中存在的漏洞和薄弱环节。在信息技术组织机构领导下，还开展了一项ERP倡议；此外，如何全面考虑安全风险和控制，也是我们讨论的一个关键问题。

在过去的两年中，不论是在信息技术组织机构内，还是在信息安全组织机构内，都发生了许多积极的变化。在许多方面，我们看到了一种非常互补互益的方法，对让CISO在信息技术组织机构外报告的决定进行了验证。尽管常常因为学校利益做出妥协，但信息安全已经迅速成为一个重要的考虑因素。坦帕大学的学生、员工和教师都有权获得一个高质量的教育和工作环境，我们也正在尽最大的努力保护他们的信息。

（翻译：盛开）

无线网建设与管理