网络安全工作组火花辩论

网络安全工作组召开由美国众议院小组委员会主席本周发布了一系列的建议,但有些结果创建IT厂商和安全倡导者之间的分歧,包括请求允许购买者向供应商联合起来制定安全标准。

企业信息安全工作小组的建议(CISWG)本周发布的众议员亚当•普特南是一个提议改变美国反托拉斯法允许IT行业团体同意为其购买软件和硬件安全规范。美国信息技术协会(ITAA),参与CISWG,反对这一提议,称这一群呼吁抵制。

“提案是一个更大的集团(客户)能够形成相当于买方卡特尔执行安全标准买方集团支持,”乔•塔斯克说,在ITAA政府事务高级副总裁。“我看不出证据表明市场已经失败。”

Tasker反对反托拉斯豁免,因为买方集团可能阻碍创新产品,客户,供应商,设定标准。买家的卡特尔是违反反托拉斯法,大多数企业还没有要求security-certified产品,他补充说。

“如果买方设置标准,谁知道他们是对的吗?”Tasker said. "That's a prescription for a go-slow approach among vendors. (A buyers' group) changes the marketplace, and it's a killer on innovation."

10月份,普特南(罗)——众议院政府改革委员会小组委员会主席技术、信息政策、政府间关系和人口普查——提出的草案副本立法,要求上市公司报告他们的网络安全美国证券交易委员会(sec)的努力。普特南决定不介绍2003年的企业信息安全责任法案大声反对从供应商,但他呼吁供应商和买家提出替代联邦立法。

普特南已经开始起草法案在一个CISWG建议确定信息安全作为一个组件,必须评估IT投资决策和战略规划的联邦机构,他在一份声明中说。

“重要的是要注意,建议需要继续工作,并形成的基础下进行的工作,”他补充说在他的声明中。”此外,虽然它是CISWG达到共识的努力这组建议,没有一致的建议,和一些成员表示担心,有很多的建议,没有完全成熟,需要进一步讨论和辩论。”

结果CISWG,大约25组织参与,闯入五组,每个工作建议。Tasker采购小组,其中一员,想出了这个提议购买群体。但这一提议将提高供应商对客户群限制贸易和从事反竞争行为,塔斯克说。“没有一个共识,”他补充说。“这些事情显然是在制品项目。”

但其他CISWG成员表示,投资集团提议,和第二个提议更好的执行联邦法律要求美国机构建立和执行最低安全配置标准的系统部署,至少值得讨论。一部分的联邦信息安全管理法案》(FISMA) 2002年要求美国机构开发的安全配置和产品购买的基准,但这部分的法律并不是一贯执行,艾伦·佩拉说,SANS研究所的研究主任。

ITAA已经质疑安全配置应该建在采购过程中,这是可能发生在FISMA的部分,塔斯克说。如果内置采购安全配置,它可能是政府机构很难后来改变他们的安全配置,还有更好的替代方案,和联邦机构可以复制对方的配置,而不是决定什么是最好在每个机构,塔斯克说。特定的安全配置可以锁定机构到特定的供应商,他补充说。

“我完全害怕,如果你开始设置的配置采购规范,你系统僵化,”塔斯克说。“没有放之四海而皆准的系统。没有替代人类思想和参与。”

FISMA部分不需要供应商建立免费的安全配置,但它可能会导致政府和私人组织要求安全配置,佩拉说。“是不是一个大故事,供应商说,“不执行法律”?“他说。“这(法律)不以任何方式告诉机构软件购买。”

单独buyer-group建议可能不成功导致美国反托拉斯法的变化,但争论可能会导致供应商改变他们的产品,佩拉说。建议显示了用户对产品的“海啸”,佩拉说。“我不认为这将经历(建议),”他补充道。“在反对它,供应商也显示出了自己的颜色,和买家不喜欢它。”

供应商和客户需要超越“修辞”反垄断和强制想出方法来提高网络安全,克林特·Kreitner说,总裁兼首席执行官中心的网络安全。他叫买家群体的争论一个“健康的过程。”

”我最后一次检查,成功的业务来自于满足客户的需求,”Kreitner说。“我看不出有什么不对的满足客户的需求的安全。”

CISWG组织本周发布的其他建议。其中有一些建议为公司创造激励从事网络安全的努力。子群推荐奖励计划为私人公司和保险公司奖励给公司,从事网络安全最佳实践。另一个CISWG小组建议针对中小企业网络安全手册。CISWG建议是可用的在这里。

Kreitner的最佳实践小组列出81个独立的网络安全公司和计算机用户指南。“难怪公司正艰难应对网络安全,”他说。“的指导很支离破碎…和代表组织竞争的观点。”

虽然争论CISWG建议,参与者赞扬了普特南的决定将组织一起讨论安全性。佩拉称赞CISWG包括一个广泛的部分供应商,买家和安全专家。CISWG是不同于其他cyberscurity工作组的成员不是“所有试图出售一些东西,”佩拉说。

建议的列表应该告诉立法者,私营企业可以想出自己的网络安全解决方案,塔斯克补充道。“这是一个很强烈的排斥政府监管的必要性,”他表示。“我们都说(普特南的提议)是不必要的立法,他说,“给我看。我希望他是相信。”

佩拉,然而,不是相信立法的必要性已经过去了。私营企业不太可能开始更关注网络安全没有动力,他说。

“我不认为这(CISWG报告)会改变的,”他说。“管理不是宗教的哀鸣。(立法)是唯一的作品。”