在过去的几个月里，我听到很多首席信息安全官抱怨说，随着大量消费者技术——如社交、视频、移动和云计算——的快速商用，他们的工作变得越来越困难。

这些新技术带来了新的风险，但是因为从商业产品角度来看它们的价值巨大，所以首席信息安全官们没有能力阻止它们的使用。这是一个巨大的浪潮，正如Forrester Research的新书《Empowered》描绘的那样。而且毋庸置疑的是，这个浪潮正在加速。事实上，Forrester最近的调查显示，近40%的不同公司的信息领域工作者使用了某种形式的“自置备”（self-provisioned）技术。此外，四分之一的公司已准备使用某种形式的云计算，半数企业（Forrester定义的雇员超过1000的公司）已经支持至少两种移动平台。

新技术的采用速度如此之快，使得安全和风险成为首要问题。我听到过这样的询问，如：“在这些技术被快速采用的情况下，我们如何保障我们的信息安全？”以及“我们应如何应对由社交网络、移动平台和云计算等技术带来的风险？”IT安全的挑战是解决不同的技术所引起的问题，管理随之而来的风险，并最终帮助重塑公司的未来。

一个看不见的好处是，这样的技术革新浪潮给了企业重新制定安全策略的机会。想想这一点：公司数据保存在云中，移动设备正逐渐替代传统的个人电脑，而社交技术则实现了人们随时随地的临时协作。维持现状的做法根本不会阻碍趋势的发展。如果需要时机来重新审视已有的安全模型的话，那么现在就是时候了。

为了帮助企业开发新的经营模式、以伙伴和支持者的角色成为创新的支点，安全部门的领导人应该检查他们的安全架构，确保它适合“授权（empowered）”环境。例如，在一个以数据为中心的安全模型中，安全保护应着重于数据本身，而不是仅仅依靠基础设施的安全性。此外，应用程序内部应有安全防御措施，因为现代的威胁几乎都集中在应用层。这种策略对安全软件、数据感知（data-aware）应用控制，以及直接内嵌在程序内部的威胁防御技术等有重大的价值。最后，系统应该具有灵活性，是“可承受攻击的”（attack-tolerant）。这里最重要的想法是这个系统在发生安全事件时不会放弃控制权，也不会崩溃。新的安全模型需要这种“可承受攻击的”平台作为建立能够抵御未来风险的系统的基础。

根据上述原则重新设计安全体系，不仅提供了防御威胁的机会，还带来了控制、处理和架构方面的根本性改变，这会令企业计算的环境更加安全。

为了能够抓住机会、抵御这些即将发生的风险，Forrester为安全和风险抵御从业人员建立了最佳的企业安全实践方法：

• 发起或参与核心的管理工作小组。一个理想的工作小组的人员组成应包括安全、企业架构、法律法规、人力资源以及主要业务部门的代表等方面的成员。
• 帮助建立采用新技术的准则。工作小组的目标是建立一系列的新技术采用标准。该标准应包括技术平台、风险承受等级以及新技术使用条件等。比如，要外包云计算系统，那么工作小组的任务就是定义一个云技术安全检查列表，供企业评估安全性成熟度以及云技术供应商的准备情况。工作小组的作用并不是要对新技术的采用持批评态度。相反，工作小组的任务是创建一系列标准和风险评估工具，以便企业用于新技术采用决策。
• 定义一套可接受的使用政策或指导。以标准雇员指导规定开始，但是还要制定具体的规定，管理新技术——如社交媒体和移动设备——的使用。每一项规定对应于每一项新技术平台的风险。例如，知道如何回应网上的负面评论对社交媒体的沟通是很重要的。
• 与公司内部的通信或市场部门合作，对员工进行培训。对首席信息安全官们来说，与员工沟通新技术采用标准和可接受的使用政策是很重要的。最有效的渠道是是已有的内部通讯/市场部门。如果企业没有这样职责鲜明的部门，那么可以和人力资源或员工培训部门合作。
• 确定执行策略并实施技术。建议工作小组是否通过技术手段发挥监管作用是很有必要的。如果企业决定要监管，首席信息安全官必须根据需要确定涉及的技术并实现它们。在选择特定的技术之前，需要确定监控/管理的对象是什么，谁来实施监控以及具体的执行步骤。

诚然，如巨浪般涌来的技术（社交、云、视频、移动）带来了特殊的风险。而IT安全人员的工作就是帮助企业理解这些风险是什么，以及如何防御这些风险。记住，正如企业是为了更好地服务它们的客户一样，IT安全也需要更好地为企业服务。但这并不意味着对企业的要求有求必应，而是在不影响安全要求的前提下，调整安全策略以便和企业的需求保持一致。如果相信企业的话，安全和风险专家能够做到这点，他们在这里面的角色是审核，而不是执行。