在過去的幾個月里�����,我聽到很多首席信息安全官抱怨說���,隨著大量消費(fèi)者技術(shù)——如社交、視頻�����、移動和云計算——的快速商用��,他們的工作變得越來越困難�。
這些新技術(shù)帶來了新的風(fēng)險,但是因為從商業(yè)產(chǎn)品角度來看它們的價值巨大���,所以首席信息安全官們沒有能力阻止它們的使用。這是一個巨大的浪潮��,正如Forrester Research的新書《Empowered》描繪的那樣��。而且毋庸置疑的是���,這個浪潮正在加速���。事實上����,F(xiàn)orrester最近的調(diào)查顯示����,近40%的不同公司的信息領(lǐng)域工作者使用了某種形式的“自置備”(self-provisioned)技術(shù)。此外�,四分之一的公司已準(zhǔn)備使用某種形式的云計算,半數(shù)企業(yè)(Forrester定義的雇員超過1000的公司)已經(jīng)支持至少兩種移動平臺��。
新技術(shù)的采用速度如此之快��,使得安全和風(fēng)險成為首要問題���。我聽到過這樣的詢問���,如:“在這些技術(shù)被快速采用的情況下,我們?nèi)绾伪U衔覀兊男畔踩?rdquo;以及“我們應(yīng)如何應(yīng)對由社交網(wǎng)絡(luò)��、移動平臺和云計算等技術(shù)帶來的風(fēng)險?”IT安全的挑戰(zhàn)是解決不同的技術(shù)所引起的問題�����,管理隨之而來的風(fēng)險���,并最終幫助重塑公司的未來����。
一個看不見的好處是�����,這樣的技術(shù)革新浪潮給了企業(yè)重新制定安全策略的機(jī)會���。想想這一點(diǎn):公司數(shù)據(jù)保存在云中���,移動設(shè)備正逐漸替代傳統(tǒng)的個人電腦,而社交技術(shù)則實現(xiàn)了人們隨時隨地的臨時協(xié)作�。維持現(xiàn)狀的做法根本不會阻礙趨勢的發(fā)展。如果需要時機(jī)來重新審視已有的安全模型的話�����,那么現(xiàn)在就是時候了�����。
為了幫助企業(yè)開發(fā)新的經(jīng)營模式����、以伙伴和支持者的角色成為創(chuàng)新的支點(diǎn),安全部門的領(lǐng)導(dǎo)人應(yīng)該檢查他們的安全架構(gòu)�����,確保它適合“授權(quán)(empowered)”環(huán)境�����。例如���,在一個以數(shù)據(jù)為中心的安全模型中�,安全保護(hù)應(yīng)著重于數(shù)據(jù)本身�,而不是僅僅依靠基礎(chǔ)設(shè)施的安全性。此外��,應(yīng)用程序內(nèi)部應(yīng)有安全防御措施���,因為現(xiàn)代的威脅幾乎都集中在應(yīng)用層����。這種策略對安全軟件、數(shù)據(jù)感知(data-aware)應(yīng)用控制�����,以及直接內(nèi)嵌在程序內(nèi)部的威脅防御技術(shù)等有重大的價值����。最后,系統(tǒng)應(yīng)該具有靈活性���,是“可承受攻擊的”(attack-tolerant)����。這里最重要的想法是這個系統(tǒng)在發(fā)生安全事件時不會放棄控制權(quán)��,也不會崩潰��。新的安全模型需要這種“可承受攻擊的”平臺作為建立能夠抵御未來風(fēng)險的系統(tǒng)的基礎(chǔ)����。
根據(jù)上述原則重新設(shè)計安全體系��,不僅提供了防御威脅的機(jī)會����,還帶來了控制���、處理和架構(gòu)方面的根本性改變,這會令企業(yè)計算的環(huán)境更加安全��。
為了能夠抓住機(jī)會�、抵御這些即將發(fā)生的風(fēng)險,F(xiàn)orrester為安全和風(fēng)險抵御從業(yè)人員建立了最佳的企業(yè)安全實踐方法:
- 發(fā)起或參與核心的管理工作小組�����。一個理想的工作小組的人員組成應(yīng)包括安全��、企業(yè)架構(gòu)��、法律法規(guī)�����、人力資源以及主要業(yè)務(wù)部門的代表等方面的成員��。
- 幫助建立采用新技術(shù)的準(zhǔn)則。工作小組的目標(biāo)是建立一系列的新技術(shù)采用標(biāo)準(zhǔn)����。該標(biāo)準(zhǔn)應(yīng)包括技術(shù)平臺、風(fēng)險承受等級以及新技術(shù)使用條件等�����。比如��,要外包云計算系統(tǒng)��,那么工作小組的任務(wù)就是定義一個云技術(shù)安全檢查列表�,供企業(yè)評估安全性成熟度以及云技術(shù)供應(yīng)商的準(zhǔn)備情況。工作小組的作用并不是要對新技術(shù)的采用持批評態(tài)度����。相反,工作小組的任務(wù)是創(chuàng)建一系列標(biāo)準(zhǔn)和風(fēng)險評估工具�����,以便企業(yè)用于新技術(shù)采用決策��。
- 定義一套可接受的使用政策或指導(dǎo)�����。以標(biāo)準(zhǔn)雇員指導(dǎo)規(guī)定開始,但是還要制定具體的規(guī)定��,管理新技術(shù)——如社交媒體和移動設(shè)備——的使用����。每一項規(guī)定對應(yīng)于每一項新技術(shù)平臺的風(fēng)險�����。例如�,知道如何回應(yīng)網(wǎng)上的負(fù)面評論對社交媒體的溝通是很重要的。
- 與公司內(nèi)部的通信或市場部門合作���,對員工進(jìn)行培訓(xùn)��。對首席信息安全官們來說���,與員工溝通新技術(shù)采用標(biāo)準(zhǔn)和可接受的使用政策是很重要的。最有效的渠道是是已有的內(nèi)部通訊/市場部門�����。如果企業(yè)沒有這樣職責(zé)鮮明的部門,那么可以和人力資源或員工培訓(xùn)部門合作���。
- 確定執(zhí)行策略并實施技術(shù)�����。建議工作小組是否通過技術(shù)手段發(fā)揮監(jiān)管作用是很有必要的����。如果企業(yè)決定要監(jiān)管����,首席信息安全官必須根據(jù)需要確定涉及的技術(shù)并實現(xiàn)它們。在選擇特定的技術(shù)之前�,需要確定監(jiān)控/管理的對象是什么,誰來實施監(jiān)控以及具體的執(zhí)行步驟�。
誠然,如巨浪般涌來的技術(shù)(社交��、云����、視頻、移動)帶來了特殊的風(fēng)險�����。而IT安全人員的工作就是幫助企業(yè)理解這些風(fēng)險是什么,以及如何防御這些風(fēng)險����。記住,正如企業(yè)是為了更好地服務(wù)它們的客戶一樣���,IT安全也需要更好地為企業(yè)服務(wù)����。但這并不意味著對企業(yè)的要求有求必應(yīng)�,而是在不影響安全要求的前提下����,調(diào)整安全策略以便和企業(yè)的需求保持一致。如果相信企業(yè)的話���,安全和風(fēng)險專家能夠做到這點(diǎn)�,他們在這里面的角色是審核���,而不是執(zhí)行����。
