在过去的几个月里,我听到很多首席信息安全官抱怨说,随着大量消费者技术——如社交、视频、移动和云计算——的快速商用,他们的工作变得越来越困难。
这些新技术带来了新的风险,但是因为从商业产品角度来看它们的价值巨大,所以首席信息安全官们没有能力阻止它们的使用。这是一个巨大的浪潮,正如Forrester Research的新书《Empowered》描绘的那样。而且毋庸置疑的是,这个浪潮正在加速。事实上,Forrester最近的调查显示,近40%的不同公司的信息领域工作者使用了某种形式的“自置备”(self-provisioned)技术。此外,四分之一的公司已准备使用某种形式的云计算,半数企业(Forrester定义的雇员超过1000的公司)已经支持至少两种移动平台。
新技术的采用速度如此之快,使得安全和风险成为首要问题。我听到过这样的询问,如:“在这些技术被快速采用的情况下,我们如何保障我们的信息安全?”以及“我们应如何应对由社交网络、移动平台和云计算等技术带来的风险?”IT安全的挑战是解决不同的技术所引起的问题,管理随之而来的风险,并最终帮助重塑公司的未来。
一个看不见的好处是,这样的技术革新浪潮给了企业重新制定安全策略的机会。想想这一点:公司数据保存在云中,移动设备正逐渐替代传统的个人电脑,而社交技术则实现了人们随时随地的临时协作。维持现状的做法根本不会阻碍趋势的发展。如果需要时机来重新审视已有的安全模型的话,那么现在就是时候了。
为了帮助企业开发新的经营模式、以伙伴和支持者的角色成为创新的支点,安全部门的领导人应该检查他们的安全架构,确保它适合“授权(empowered)”环境。例如,在一个以数据为中心的安全模型中,安全保护应着重于数据本身,而不是仅仅依靠基础设施的安全性。此外,应用程序内部应有安全防御措施,因为现代的威胁几乎都集中在应用层。这种策略对安全软件、数据感知(data-aware)应用控制,以及直接内嵌在程序内部的威胁防御技术等有重大的价值。最后,系统应该具有灵活性,是“可承受攻击的”(attack-tolerant)。这里最重要的想法是这个系统在发生安全事件时不会放弃控制权,也不会崩溃。新的安全模型需要这种“可承受攻击的”平台作为建立能够抵御未来风险的系统的基础。
根据上述原则重新设计安全体系,不仅提供了防御威胁的机会,还带来了控制、处理和架构方面的根本性改变,这会令企业计算的环境更加安全。
为了能够抓住机会、抵御这些即将发生的风险,Forrester为安全和风险抵御从业人员建立了最佳的企业安全实践方法:
- 发起或参与核心的管理工作小组。一个理想的工作小组的人员组成应包括安全、企业架构、法律法规、人力资源以及主要业务部门的代表等方面的成员。
- 帮助建立采用新技术的准则。工作小组的目标是建立一系列的新技术采用标准。该标准应包括技术平台、风险承受等级以及新技术使用条件等。比如,要外包云计算系统,那么工作小组的任务就是定义一个云技术安全检查列表,供企业评估安全性成熟度以及云技术供应商的准备情况。工作小组的作用并不是要对新技术的采用持批评态度。相反,工作小组的任务是创建一系列标准和风险评估工具,以便企业用于新技术采用决策。
- 定义一套可接受的使用政策或指导。以标准雇员指导规定开始,但是还要制定具体的规定,管理新技术——如社交媒体和移动设备——的使用。每一项规定对应于每一项新技术平台的风险。例如,知道如何回应网上的负面评论对社交媒体的沟通是很重要的。
- 与公司内部的通信或市场部门合作,对员工进行培训。对首席信息安全官们来说,与员工沟通新技术采用标准和可接受的使用政策是很重要的。最有效的渠道是是已有的内部通讯/市场部门。如果企业没有这样职责鲜明的部门,那么可以和人力资源或员工培训部门合作。
- 确定执行策略并实施技术。建议工作小组是否通过技术手段发挥监管作用是很有必要的。如果企业决定要监管,首席信息安全官必须根据需要确定涉及的技术并实现它们。在选择特定的技术之前,需要确定监控/管理的对象是什么,谁来实施监控以及具体的执行步骤。
诚然,如巨浪般涌来的技术(社交、云、视频、移动)带来了特殊的风险。而IT安全人员的工作就是帮助企业理解这些风险是什么,以及如何防御这些风险。记住,正如企业是为了更好地服务它们的客户一样,IT安全也需要更好地为企业服务。但这并不意味着对企业的要求有求必应,而是在不影响安全要求的前提下,调整安全策略以便和企业的需求保持一致。如果相信企业的话,安全和风险专家能够做到这点,他们在这里面的角色是审核,而不是执行。