ChinaByte 12月22日消息 在安然、世通、Arthur Andersen公司、Tyco公司和其他公司的丑闻爆发后,美国国会在2002年制定了“Sarbanes-Oxley法”。
制定该法的目的是改进美国的会计制度,从前的会计制度有许多漏洞可让腐败的经理人利用。新法律规定,上市公司高级官员和董事必须对企业的财务公告的制定与批准负责。
虽然对新法律的最终定论要等几年才能看到,但是有一点非常清楚:如果CEO插手公司会计事务,Sarbanes-Oxley法明确规定,此人将按照法律被关进监狱。
从会计制度改革中吸取教训有利于更好地保护网络安全,其理念是:无论事务有多么不完善,如果你要达到目标,就要敢于虎口拔牙。
解决安全问题应当依靠市场机制与政府管制的平衡
你可以看到,在企业发生安全事故之后,它们才开始谈论执行网络安全的基本方针和采取最佳安全措施。然而事实告诉我们,在法律没有规定最终的惩罚措施之前,你看不到重大的改进。
毫无疑问,在高压和自愿执行二者之间寻找适当的平衡就是平衡的法律。但是所有人都记得的例子是“健康保险促进与义务法(HIPAA)”的惨败。从表面上看,1996年制定的该法是为了保护员工医疗保险条件。不幸的是,它没有起到实际作用,因为没有政府或第三方来实施审计。虽然有一些公司努力执行新法律,但是其他公司并未执行,它们也没有受到惩罚。
没有一种最佳单一解决方案能够适用于所有公司。然而,没有理由证明软件公司不能坚持可衡量的标准。毕竟联邦政府的常规审计行为是基于明确的标准。显然所有人都知道游戏规则。为什么在安全问题上不能采用同样的办法呢。
使人困扰的是,安全问题已经过于极端化,一方面提倡纯粹的市场竞争,另一方面则强调政府严格管制。我认为,两极中间存在着合理的中间地带,这里既有市场机制,也有政府管制。
必须强化企业的安全责任
解决安全问题的最好答案在于软件行业,软件行业的人十分清楚地知道错在那里。前白宫首席网络安全顾问克拉克说:更重要的是,在已知网络安全事故中,有80%的事故源于软件缺陷。
前白宫网络首席安全顾问说:通过消除常见错误,我们就可以在网络安全方面完成巨量工作。由于人们希望他们的软件能更快打进市场,所以一直以来产生了大量错误。如果我们能够修复问题,我们就能把绝大多数问题排除在外。
一些人建议说,应当对制造商课以更多的责任。有一种说法是,制造商所以不顾软件质量,是因为他们认为从来不存在完美的软件。我们不需要完美,我们需要的是安全。如果软件行业不能有效地解决升级质量标准,那么就必然进入痛苦的境地。
在圣诞节即将到来之时,我要给考虑下一步方案的CEO们送上礼物:给你公司的技术总监留一个上班便条,不开玩笑,上面就写:“如果我进监狱,你也跑不掉。”。在所有努力失败后,命令式的严肃提醒可能有用。或许这样做有利于改善企业安全工作的僵局。(完)
