信息安全是这样一个行业,它的职业操守至少不能低到乐于不安全和信息的程度。如果连这一点都做不到,那么我们就只能接受不安全是正常的,进而接受对经济的影响,而不安全这一“标准”的泛滥也是自然而然的了。
我现在从事信息安全工作已经30年了,我开始怀疑,是不是在这行业待得太久了。同时我也怀疑,2014年里我做事的风格和方法是否有违职业。最后我开始问自己,是不是必需做出改变,以跟上不断成长的行业准则。
我还记得,即使在我早年的职业生涯中,也有很多人给我提供所谓的“灰色收入”,但我从来都没有接受过。但当时我们单位身处要职的另外一些人就接收了,后来被人发现并被解雇。
2014年,我又遇上了类似的事情。那是我受邀拜访一家汽车制造商,去该公司评估安全和渗透测试评估服务。该公司的首席信息安全官邀我在餐厅与他会面,并进行了私下的会谈。会谈中他暗示我,要想拿下这笔业务,就要适当打点打点,让我将利润的40%“返点”给他,即所谓的“灰色收入”的一种。
现在回想起来,我当时非常渴望拿下这笔业务,而我也非常清楚,拿下这样的一笔业务不仅不光彩,而且会严重影响到我的个人意志。不久,我再次受邀参与报价,再次被提醒要“慎重考虑”。
会后,我再三斟酌了目前的状况,最终毅然退出。尽管这是一笔看上去非常划算的业务,但我想,大概是挡了我的财吧。
让我们再回到那些组织人员之间棘手的职业问题,不同的人可能会出现很大的意见冲突,但有些事情说出来不见得是好事。英国贸易行业的一些机构,并不在意他们的客户群体和合作,而这些信息极易被网络犯罪组织盯上并利用。
比如,当前正在推进部署的智能电表入户计划,有许多安全问题被忽略,尽管有人知道这些安全问题和漏洞的存在。说是要客户的信息,但似乎没人担心内部信息泄露的问题,要知道这个计划的实施者包括成千上万的员工、承包商和第三方,而他们都有可能接触到这些的资产。
这些事情好像还不足以说明,我们摒弃了安全从业人员的职业操守,虽然这些信息资产可以轻松下载到任何存储介质上,不管它是智能手机、U盘,还是20G的存储设备,更为严重的是这些数据可以被毫无的访问。
而所有这一切却被在位的首席信息安全官以及他的安全经理和许多安全专业人员所。这时,职业就被默不作声以保全组织声誉的完整性所代替,但同时他们却了,了他们的商业伙伴,了他们向管理机构提交的虚假报表。
信息安全是这样一个行业,它的职业操守至少不能低到乐于不安全和信息的程度。如果连这一点都做不到,那么我们就只能接受不安全是正常的,进而接受对经济的影响,而不安全这一“标准”的泛滥也是自然而然的了。
如果我们认为这样一种做法是站得住脚的,是遵守诸如ISSA和ISACA等此类组织规范的,那么也许我们需要重新考虑一下我们的身份了。既然我们可以把我们的雇主信息,那么我们又比另一些人好到哪里了呢?比如,罪犯?
所以,在2014年结束之际,我开始问自己并把自己的想法发出来,让大家看一看是否符合信息安全行业的职业准则。也许这样做并不“时尚”,也得不到某些人的尊重,但我这些品质是一个正直的安全从业人员在2014年应该坚守的,也是我们这个数字经济社会安全的必要。
沉香玉,计算机、英语专业双学历。从事计算机、互联网、电子商务方面工作10年以上,现为翻译工作者,安全牛特约,199IT-互联网数据中心编译团队。翻译领域主要涉及文学、IT信息科技、财经营销、社会科学、生活健康、运动探险、地理旅游、教育培训等行业。翻译作品包括《冒充白人》、《我曾是一个黑人》、《小木屋系列丛书》等。约稿请洽: