在過(guò)去的幾個(gè)月里�,我聽到很多首席信息安全官抱怨說(shuō)�,隨著大量消費(fèi)者技術(shù)——如社交、視頻�����、移動(dòng)和云計(jì)算——的快速商用�,他們的工作變得越來(lái)越困難。
這些新技術(shù)帶來(lái)了新的風(fēng)險(xiǎn)�,但是因?yàn)閺纳虡I(yè)產(chǎn)品角度來(lái)看它們的價(jià)值巨大,所以首席信息安全官們沒有能力阻止它們的使用���。這是一個(gè)巨大的浪潮�����,正如Forrester Research的新書《Empowered》描繪的那樣���。而且毋庸置疑的是���,這個(gè)浪潮正在加速。事實(shí)上��,F(xiàn)orrester最近的調(diào)查顯示�,近40%的不同公司的信息領(lǐng)域工作者使用了某種形式的“自置備”(self-provisioned)技術(shù)。此外����,四分之一的公司已準(zhǔn)備使用某種形式的云計(jì)算,半數(shù)企業(yè)(Forrester定義的雇員超過(guò)1000的公司)已經(jīng)支持至少兩種移動(dòng)平臺(tái)����。
新技術(shù)的采用速度如此之快,使得安全和風(fēng)險(xiǎn)成為首要問題�����。我聽到過(guò)這樣的詢問��,如:“在這些技術(shù)被快速采用的情況下,我們?nèi)绾伪U衔覀兊男畔踩?rdquo;以及“我們應(yīng)如何應(yīng)對(duì)由社交網(wǎng)絡(luò)����、移動(dòng)平臺(tái)和云計(jì)算等技術(shù)帶來(lái)的風(fēng)險(xiǎn)?”IT安全的挑戰(zhàn)是解決不同的技術(shù)所引起的問題����,管理隨之而來(lái)的風(fēng)險(xiǎn),并最終幫助重塑公司的未來(lái)���。
一個(gè)看不見的好處是,這樣的技術(shù)革新浪潮給了企業(yè)重新制定安全策略的機(jī)會(huì)�����。想想這一點(diǎn):公司數(shù)據(jù)保存在云中��,移動(dòng)設(shè)備正逐漸替代傳統(tǒng)的個(gè)人電腦��,而社交技術(shù)則實(shí)現(xiàn)了人們隨時(shí)隨地的臨時(shí)協(xié)作�。維持現(xiàn)狀的做法根本不會(huì)阻礙趨勢(shì)的發(fā)展。如果需要時(shí)機(jī)來(lái)重新審視已有的安全模型的話��,那么現(xiàn)在就是時(shí)候了����。
為了幫助企業(yè)開發(fā)新的經(jīng)營(yíng)模式���、以伙伴和支持者的角色成為創(chuàng)新的支點(diǎn),安全部門的領(lǐng)導(dǎo)人應(yīng)該檢查他們的安全架構(gòu)���,確保它適合“授權(quán)(empowered)”環(huán)境�����。例如��,在一個(gè)以數(shù)據(jù)為中心的安全模型中��,安全保護(hù)應(yīng)著重于數(shù)據(jù)本身��,而不是僅僅依靠基礎(chǔ)設(shè)施的安全性���。此外,應(yīng)用程序內(nèi)部應(yīng)有安全防御措施�,因?yàn)楝F(xiàn)代的威脅幾乎都集中在應(yīng)用層。這種策略對(duì)安全軟件��、數(shù)據(jù)感知(data-aware)應(yīng)用控制���,以及直接內(nèi)嵌在程序內(nèi)部的威脅防御技術(shù)等有重大的價(jià)值��。最后����,系統(tǒng)應(yīng)該具有靈活性,是“可承受攻擊的”(attack-tolerant)���。這里最重要的想法是這個(gè)系統(tǒng)在發(fā)生安全事件時(shí)不會(huì)放棄控制權(quán)����,也不會(huì)崩潰��。新的安全模型需要這種“可承受攻擊的”平臺(tái)作為建立能夠抵御未來(lái)風(fēng)險(xiǎn)的系統(tǒng)的基礎(chǔ)�����。
根據(jù)上述原則重新設(shè)計(jì)安全體系��,不僅提供了防御威脅的機(jī)會(huì)��,還帶來(lái)了控制���、處理和架構(gòu)方面的根本性改變����,這會(huì)令企業(yè)計(jì)算的環(huán)境更加安全�。
為了能夠抓住機(jī)會(huì)、抵御這些即將發(fā)生的風(fēng)險(xiǎn)���,F(xiàn)orrester為安全和風(fēng)險(xiǎn)抵御從業(yè)人員建立了最佳的企業(yè)安全實(shí)踐方法:
- 發(fā)起或參與核心的管理工作小組���。一個(gè)理想的工作小組的人員組成應(yīng)包括安全、企業(yè)架構(gòu)�、法律法規(guī)、人力資源以及主要業(yè)務(wù)部門的代表等方面的成員�����。
- 幫助建立采用新技術(shù)的準(zhǔn)則�。工作小組的目標(biāo)是建立一系列的新技術(shù)采用標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)應(yīng)包括技術(shù)平臺(tái)�、風(fēng)險(xiǎn)承受等級(jí)以及新技術(shù)使用條件等。比如����,要外包云計(jì)算系統(tǒng),那么工作小組的任務(wù)就是定義一個(gè)云技術(shù)安全檢查列表���,供企業(yè)評(píng)估安全性成熟度以及云技術(shù)供應(yīng)商的準(zhǔn)備情況���。工作小組的作用并不是要對(duì)新技術(shù)的采用持批評(píng)態(tài)度�����。相反�,工作小組的任務(wù)是創(chuàng)建一系列標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估工具�����,以便企業(yè)用于新技術(shù)采用決策����。
- 定義一套可接受的使用政策或指導(dǎo)。以標(biāo)準(zhǔn)雇員指導(dǎo)規(guī)定開始��,但是還要制定具體的規(guī)定��,管理新技術(shù)——如社交媒體和移動(dòng)設(shè)備——的使用�。每一項(xiàng)規(guī)定對(duì)應(yīng)于每一項(xiàng)新技術(shù)平臺(tái)的風(fēng)險(xiǎn)�。例如,知道如何回應(yīng)網(wǎng)上的負(fù)面評(píng)論對(duì)社交媒體的溝通是很重要的�����。
- 與公司內(nèi)部的通信或市場(chǎng)部門合作,對(duì)員工進(jìn)行培訓(xùn)���。對(duì)首席信息安全官們來(lái)說(shuō)�,與員工溝通新技術(shù)采用標(biāo)準(zhǔn)和可接受的使用政策是很重要的�����。最有效的渠道是是已有的內(nèi)部通訊/市場(chǎng)部門����。如果企業(yè)沒有這樣職責(zé)鮮明的部門,那么可以和人力資源或員工培訓(xùn)部門合作�。
- 確定執(zhí)行策略并實(shí)施技術(shù)。建議工作小組是否通過(guò)技術(shù)手段發(fā)揮監(jiān)管作用是很有必要的�����。如果企業(yè)決定要監(jiān)管��,首席信息安全官必須根據(jù)需要確定涉及的技術(shù)并實(shí)現(xiàn)它們�。在選擇特定的技術(shù)之前,需要確定監(jiān)控/管理的對(duì)象是什么�,誰(shuí)來(lái)實(shí)施監(jiān)控以及具體的執(zhí)行步驟�。
誠(chéng)然�����,如巨浪般涌來(lái)的技術(shù)(社交����、云、視頻�、移動(dòng))帶來(lái)了特殊的風(fēng)險(xiǎn)。而IT安全人員的工作就是幫助企業(yè)理解這些風(fēng)險(xiǎn)是什么����,以及如何防御這些風(fēng)險(xiǎn)。記住���,正如企業(yè)是為了更好地服務(wù)它們的客戶一樣�,IT安全也需要更好地為企業(yè)服務(wù)��。但這并不意味著對(duì)企業(yè)的要求有求必應(yīng)����,而是在不影響安全要求的前提下�����,調(diào)整安全策略以便和企業(yè)的需求保持一致。如果相信企業(yè)的話��,安全和風(fēng)險(xiǎn)專家能夠做到這點(diǎn)��,他們?cè)谶@里面的角色是審核�,而不是執(zhí)行。
