今年，我有机会能再次参加Gartner安全与风险管理峰会，该会议已成为信息安全界的晴雨表。我想简要的强调一下我的五大主题，这几点在主题演讲、会议以及同与会者的非正式交谈中引起了共鸣。

　　5. Dodd-Frank法案遵从规则：正如我在这周所写的那样，Dodd-Frank法规对许多企业的遵从规则来讲将会是一个新的头痛的事情，尤其对那些没有对其密切进行关注的企业而言，更是如此。有趣的是，在一些情况下，这个法案的许多条例可能并不鼓励雇员挺身而出，来举报欺诈行为。可能更令人不安的是，政府仍然处于制定规则的过程中，这些规则将会用来指导Dodd-Frank的公司遵从规则，这意味着没人真正知道它将会有多么繁琐。

　　4. 移动设备的普及：长期被忽略的是，雇员拥有的移动设备已成为一个即将发生的安全问题。这些智能手机——以及现在的平板电脑——已经长期被充斥着公司的敏感数据，但是它们要么作为一个安全风险被忽视了，要么被视为太具挑战性而不能严加管束。现在，企业正开始认识到这些设备引起的风险，然而是否新兴的设备管理技术、数据访问限制、用户安全策略，或者上述的方式将成为问题的解决办法呢?这仍然有待观察。这似乎是一个令许多信息安全专业人士摸不着头脑的话题(如果你是其中之一，一定要阅读Marcia Savage所写的重要文章——IT消费化驱动了新的安全思想，刊登在信息安全杂志的2011年6月版)

　　3. 云计算需要实际检验：云计算这一概念被炒作了好几年，但直到最近我才首次开始感觉到来自信息安全专业人员更多的信心。为什么呢?他们现在认识到绝大多数当今企业的云计算是“软件即服务(SaaS)”的方式，而不是更复杂的平台或把更多控制权交给第三方供应商从而导致基础设施的变化。这个认识使得安全团队需要花费一些时间，来重新评估现在使用的云计算设备以确保它们是安全的，除此之外，还需研发一个更综合的云计算安全策略，以便当企业想要双倍投资于更先进的云计算技术时，安全团队是乐意合作者，而不是阻挠者。

　　2. APT和攻击：它开始于今年初的RSA SecurID泄漏的新闻，但是从那以后似乎重大的、先进的攻击事件层出不穷，而且不同于我们曾经见到过的攻击。其中，受害者包括索尼公司、Lockheed Martin公司、花旗集团、Sega公司、英国国家卫生事业局以及美国参议院等。这些都是世界上最重要的公司，但是它们似乎已经无力来保护它们最重要的数据。我在这周听到的两种最常见的反应是：“是啊，那是可怕的东西，”和“我庆幸这没有发生在我的企业内。”但是，这可是先进的持续威胁(APT)，它意味着很有可能你的数据正在被窃取但你却不知道它正在发生。这周，我听说了许多关于APT的事情，不幸的是很多是不能发表的，但是可以肯定地说，现在犯罪网络通常穿透企业的防御，并使用一些让资深的信息安全专家也会感到震惊的复杂技术在很长一段时间内窃取出大量数据。APT是真实的，不是炒作，而且在美国决定明确地指出中国政府是许多这些攻击事件背后的推动力量之前，你几乎只能靠自己。

　　1. 风险管理：把所有这些问题连接到一起的共同主题是什么呢?对于大多数企业的安全组来说，聚集技术、时间和资源来减轻每一个这些风险是不可能的。这周，让我感到震惊的是，所有这些问题的汇集再次激起了人们对这个经常被忽略的、但是至关重要的企业风险管理学科的兴趣，即弄清楚如何确定是哪个特定威胁造成了对企业最大的风险，并使用这个信息来创建一个企业的风险状况。信息安全专业人员不能解决所有的问题，尤其是不能一次解决所有问题，并且安全预算不可能很快的得到显著提高，在正确的地方投资宝贵的资源已经变成一个孤注一掷的问题。

　　我知道许多安全专业人员已经集中研究风险管理很长一段时间了，但是听到许多与会者亲口承认风险管理策略正式化非常重要，这是一个令人振奋的好消息。重大的泄漏、漏洞和攻击一个接着一个，这对安全来讲是艰难的一年，但是在Gartner安全峰会2011上看到如此多乐观的安全专业人员准备好着手对付下一个发生的问题时，使我对我们在帮助你们做到最好时所扮演的小角色感到欣慰。