在過去的幾個月里�,我聽到很多首席信息安全官抱怨說,隨著大量消費者技術——如社交�、視頻���、移動和云計算——的快速商用���,他們的工作變得越來越困難。
這些新技術帶來了新的風險����,但是因為從商業(yè)產(chǎn)品角度來看它們的價值巨大,所以首席信息安全官們沒有能力阻止它們的使用�。這是一個巨大的浪潮,正如Forrester Research的新書《Empowered》描繪的那樣�。而且毋庸置疑的是�,這個浪潮正在加速。事實上�����,F(xiàn)orrester最近的調查顯示���,近40%的不同公司的信息領域工作者使用了某種形式的“自置備”(self-provisioned)技術。此外��,四分之一的公司已準備使用某種形式的云計算���,半數(shù)企業(yè)(Forrester定義的雇員超過1000的公司)已經(jīng)支持至少兩種移動平臺��。
新技術的采用速度如此之快�,使得安全和風險成為首要問題�。我聽到過這樣的詢問����,如:“在這些技術被快速采用的情況下,我們如何保障我們的信息安全����?”以及“我們應如何應對由社交網(wǎng)絡、移動平臺和云計算等技術帶來的風險����?”IT安全的挑戰(zhàn)是解決不同的技術所引起的問題,管理隨之而來的風險�,并最終幫助重塑公司的未來。
一個看不見的好處是,這樣的技術革新浪潮給了企業(yè)重新制定安全策略的機會�����。想想這一點:公司數(shù)據(jù)保存在云中,移動設備正逐漸替代傳統(tǒng)的個人電腦��,而社交技術則實現(xiàn)了人們隨時隨地的臨時協(xié)作。維持現(xiàn)狀的做法根本不會阻礙趨勢的發(fā)展��。如果需要時機來重新審視已有的安全模型的話�,那么現(xiàn)在就是時候了�����。
為了幫助企業(yè)開發(fā)新的經(jīng)營模式�、以伙伴和支持者的角色成為創(chuàng)新的支點,安全部門的領導人應該檢查他們的安全架構����,確保它適合“授權(empowered)”環(huán)境。例如,在一個以數(shù)據(jù)為中心的安全模型中���,安全保護應著重于數(shù)據(jù)本身�,而不是僅僅依靠基礎設施的安全性�����。此外�����,應用程序內部應有安全防御措施���,因為現(xiàn)代的威脅幾乎都集中在應用層。這種策略對安全軟件����、數(shù)據(jù)感知(data-aware)應用控制,以及直接內嵌在程序內部的威脅防御技術等有重大的價值����。最后�,系統(tǒng)應該具有靈活性��,是“可承受攻擊的”(attack-tolerant)�����。這里最重要的想法是這個系統(tǒng)在發(fā)生安全事件時不會放棄控制權�����,也不會崩潰���。新的安全模型需要這種“可承受攻擊的”平臺作為建立能夠抵御未來風險的系統(tǒng)的基礎����。
根據(jù)上述原則重新設計安全體系�,不僅提供了防御威脅的機會���,還帶來了控制、處理和架構方面的根本性改變��,這會令企業(yè)計算的環(huán)境更加安全��。
為了能夠抓住機會、抵御這些即將發(fā)生的風險��,F(xiàn)orrester為安全和風險抵御從業(yè)人員建立了最佳的企業(yè)安全實踐方法:
- 發(fā)起或參與核心的管理工作小組���。一個理想的工作小組的人員組成應包括安全、企業(yè)架構����、法律法規(guī)、人力資源以及主要業(yè)務部門的代表等方面的成員。
- 幫助建立采用新技術的準則���。工作小組的目標是建立一系列的新技術采用標準����。該標準應包括技術平臺���、風險承受等級以及新技術使用條件等����。比如�����,要外包云計算系統(tǒng)����,那么工作小組的任務就是定義一個云技術安全檢查列表����,供企業(yè)評估安全性成熟度以及云技術供應商的準備情況。工作小組的作用并不是要對新技術的采用持批評態(tài)度��。相反��,工作小組的任務是創(chuàng)建一系列標準和風險評估工具���,以便企業(yè)用于新技術采用決策����。
- 定義一套可接受的使用政策或指導�。以標準雇員指導規(guī)定開始��,但是還要制定具體的規(guī)定����,管理新技術——如社交媒體和移動設備——的使用��。每一項規(guī)定對應于每一項新技術平臺的風險��。例如�,知道如何回應網(wǎng)上的負面評論對社交媒體的溝通是很重要的。
- 與公司內部的通信或市場部門合作�,對員工進行培訓。對首席信息安全官們來說�����,與員工溝通新技術采用標準和可接受的使用政策是很重要的。最有效的渠道是是已有的內部通訊/市場部門����。如果企業(yè)沒有這樣職責鮮明的部門�����,那么可以和人力資源或員工培訓部門合作�����。
- 確定執(zhí)行策略并實施技術���。建議工作小組是否通過技術手段發(fā)揮監(jiān)管作用是很有必要的�����。如果企業(yè)決定要監(jiān)管�,首席信息安全官必須根據(jù)需要確定涉及的技術并實現(xiàn)它們�。在選擇特定的技術之前,需要確定監(jiān)控/管理的對象是什么�,誰來實施監(jiān)控以及具體的執(zhí)行步驟���。
誠然,如巨浪般涌來的技術(社交���、云����、視頻���、移動)帶來了特殊的風險。而IT安全人員的工作就是幫助企業(yè)理解這些風險是什么�,以及如何防御這些風險。記住���,正如企業(yè)是為了更好地服務它們的客戶一樣,IT安全也需要更好地為企業(yè)服務����。但這并不意味著對企業(yè)的要求有求必應,而是在不影響安全要求的前提下���,調整安全策略以便和企業(yè)的需求保持一致���。如果相信企業(yè)的話,安全和風險專家能夠做到這點�����,他們在這里面的角色是審核�,而不是執(zhí)行����。
