正在迅速接受包括、社会网络、以及移动在内的新工具和技术,这加速打破了在组织周围所建立的、并用于保护它们数据资产的传统边界。结果就是“超级扩展型企业”的出现。尽管这种变化帮助公司实现了他们的战略目标,如削减成本、促进创新以及提高内部和外部之间的通信水平,但它同时也使组织暴露在了风险之下。
最近,由公司研究服务部执行的一项调查对这些风险进行了调查研究,并就如何评估并解决这些风险给出了建议。主要研究成果如下:
·尽管接近一半的受调查者表示他们已经采用了或将在明年采用技术,但相当一部分都没有任何评估相关风险的战略,甚至有些公司在没有通知公司部门的情况下就部署了这项技术。
·削减成本和创造收益的压力使它们大大增加了暴露在安全风险下的可能性,10个受访者中有超过8个对这种状况表示担忧。10个受访者中有超过7个在过去的18个月中遇到过安全问题。
·只有44%的受调查者表示他们已经对社会网络网站的使用制订了“可接受的使用”的政策。
·多数受调查者认为他们需要改善企业安全战略的方法,以适应超级扩展型企业的现状。
分析安全因素之后再做技术跨越
“超级扩展型企业”是指使用新的web和通信技术,让远多于以往任何时候的客户在更多地方,能以更丰富的方式相互交换信息的企业。超级扩展型企业通常在他们全球企业内部使用这些技术,以便将外部的客户、合作伙伴、供应商以及其他第三方整合到它们的运营中。接近四分之三的受调查者认为他们的组织满足或将很快满足该定义。
然而,调查结果却显示,加速转变成为超级扩展型企业的趋势导致许多公司的领导人正走向两个极端:要么过于急切,要么过于谨慎。
这些新技术所具有的潜力让一些公司感到振奋,以至于在没有尽责任地确保重要流程和数据安全的情况下就跨越式的采用了这些新技术。云计算就是一个引人注目的例子。在所有受调查者中,31%表示已经至少将一些企业级或部门的应用迁移到了云计算环境之中,还有16%称他们计划在明年开始这项工作。一半以上的受调查者表示他们不清楚如何在使用共享基础设施服务时确保数据的完整性和法规遵从性。多数受调查者并没有清楚地了解云计算供应商将会如何保护他们的数据,或他们企业的安全团队在把数据迁移到云计算环境中后将如何满足法规遵从性要求。超过40%的受调查者表示他们担心不能追踪到他们数据的地理位置。最令人惊讶的是,超过四分之一(29%)的受调查者称业务单位在没有公司IT部门参与甚至没有通知他们的情况下就使用了云计算服务。
然而,即使只有17%的受调查者已经实际制定了云计算的安全战略,但他们中的70%“非常有信心”或“有一定的信心”,称他们已经为企业云计算的大规模采用做好了安全方面的准备。
这种脱节的情况在被定义围超级扩展型企业的web和通信技术中真实地存在着:只有43%的受调查者表示在所有情况下他们的安全部门和业务部门会共同制定风险评估和调节流程,而35%的受调查者称这两个部门之间存在着分歧,16%的受调查者表示安全部门仅在发生问题的时候才参与其中。另外,一些受调查者承认他们的组织在安全部门不知道的情况下就采用了这些技术。
另一方面,其他的受调查者却在积极地避开这些技术,从而错失了降低成本,提高公司灵活性,生产效率以及创新能力的机会。
避免过多地暴露在风险之下而发展成超级扩展型企业的明智方法就是瞄准中间地带。也就是说将重点从企业安全战略转移到在允许数据共享的同时仍能保护其机密性、完整性和可用性的政策和实践上。这种新的方法必须要更加的积极主动,具有更多的协作性,并开始把重点放在保护数据的安全上,而不管它存放在何处以及谁对它进行了访问。
保护数据,而不是信息载体
随着移动设备的日益增加和虚拟技术的日渐普及,越来越多的企业数据在多个地方用多种方式进行处理,而它们的安全性却难以保障。受调查者认识到了这一点,大多数(87%)受调查者认为安全部门须将其重点转移到保护数据上面,而不是保护含有数据的设备或上。然而,这也要求公司必须要更加清楚地知道数据可能存在哪个地方——这是一项复杂的任务:83%的受调查者表示在过去的12到24个月中,他们增加了虚拟化技术的使用,65%的受调查者表示它们增加了诸如等消费者移动设备的使用,而企业的安全团队平均只支持6种不同类型的终端用户设备。
当公司开始将其重要信息和流程迁移到云计算环境中时,这个保护数据的问题将变得更加棘手。受调查者最担心的云计算问题如下:
·供应商安全流程缺乏透明度(51%)
·技术不成熟(47%)
·保护数据的完整性(45%)
·安全标准的缺乏(40%)
·不能满足法规遵从性要求的风险(40%)
在事发后或仅在发生安全破坏事件时才识别风险,坦白的讲,对大多数组织来说都是难以承受后果的冒险。然而,很多组织却在争先恐后的采用新技术,而没有充分注意到他们所制造的安全问题。对于这个存在的脱节问题,许多组织都需要明确地优先考虑并提高在采用之前进行评估和消除风险的能力。
“这些技术的采用通常都是基于成本的考虑,它是一种降低运营线成本的美妙方法,”位于霍普金斯的公司副总裁兼首席安全官Roland Cloutier说,“企业不一定认识到所涉及的数据与知识产权等成型产品一样具有很高的价值。”
Cloutier说企业必须清楚地了解它们将要使用、共享或扩展的资源、信息和技术,这样他们才能对风险所采取的措施做出有根据的决定。例如,他说,他了解到短语“云计算”用来指企业外部用来开发代码的处理环境、平台环境、软件即服务和地点。如果公司不能够准确地界定它们要外包的内容以及它们想要达到的最终结果,它们就不可能恰当的对所涉及的基本威胁和风险进行评估。
考虑到超级扩展型企业与供应商和合作伙伴共享数据,所以必须在安全风险评估中将它们也包含进来。尽管47%的受调查者表示它们与供应商和合作伙伴的协议要求所有分包商必须满足它们特定的安全要求,但仍有12%的受调查者表示它们的协议并没有要求分包商遵循它们的安全标准,而还有5%的受调查者表示它们甚至不知道它们的供应商和合作伙伴是否使用分包商——特别是对于使用外包服务的公司来说,这种监管是很令人惊讶的。
可接受使用的政策制定
随着围绕在资产和信息周围的传统边界的日渐消失,公司需要对在员工掌握之下的技术实行可接受使用的强有力政策。这对于社会网络网站和工具(模糊了个人信息和工作信息之间的界线)以及电脑和其他移动设备(这些设备的丢失或遭窃会泄露它们所包含的重要数据)来说尤为重要。
本项调查的受调查者对社会网络web站点表现出了特别的担心。只有17%的受调查者允许随意的访问。接近三分之一(30%)直接完全屏蔽了对这些网站的访问。然而,44%的受调查者称他们已经制定了可接受使用的政策,对风险进行了说明,并对员工可以如何使用这些网站进行了控制。这些公司明白社会网络的存在可以让员工和客户能以最小的成本进行通讯,但他们也同时认识到将用户无意或恶意泄露机密信息的风险控制在最小范围内的重要性。
可接受使用的政策必须确保员工了解如何尽可能安全地使用超级扩展型企业的工具。政策还必须包括对员工生成和访问的数据进行监控和管理的程序。最重要的是,Cloutier认为它们必须在每一种类型的技术中保持一致,并用工具进行支持,以让用户知道这些政策。
用户教育和培训
对用户进行安全政策的教育不仅仅只是简单的告诉员工什么样的内容可以或不可以发布在社会网络网站上。它还可以,而且应当是用成功的方法对员工就如何利用超级扩展型企业的工具以使生产效率和战略利益最大化进行培训的良机。
然而,许多组织显然没有做到任何一点。超过70%的受调查者表示在过去的18个月中遇到过安全问题,最常见的是恶意软件感染(52%),数据破坏(22%),或身份盗窃(22%)——如果对用户进行了保护数据重要性的教育,并始终遵守安全政策,所有的这些问题都可以大幅地减少。这些政策毕竟只有在用户熟悉它们,理解它们为什么非常重要,同时遵守最佳实践的情况下才会起到作用。
“现实情况是,这就是现今整个世界进行通信的方式,” Cloutier说,“企业所面临的挑战就是如何利用web 2.0工具,并将它们无缝并安全地集成到工作流中。”
一种平衡的方法
对这些问题进行了认真思考的其中一个公司就是Inteva Products LLC,这是一家总部设在密歇根州特洛伊的生产汽车内饰和门组件的制造商,它已经将其电子邮件,工资和福利以及迁移到了云计算环境中,并制定了一系列将其IT组织的重点集中在支持而不是技术上的战略,首席信息官Dennis Hodges说。
“我们向云计算供应商要了许多有关他们如何保护我们数据安全的文档,”Hodges说,“到目前为止,我们发现因为他们的业务依赖于此,因此他们在安全性上的表现要比我们能做到的好很多——这同时也是由于我们寻找的供应商是那些技术广受认可的供应商的缘故。”
Inteva实行可接受使用的政策,这些政策并非技术意义上的政策,它要求员工不得损害公司的声誉或将公司秘密外泄,这在员工的就业道德守则和就业协议中作了说明。Inteva还会对员工定期进行基于云计算应用的培训,尽管这些应用几乎完全在后台运行。在员工使用 Outlook时,Hodges说,他们并不知道他们的电子邮件传送到了基于云计算的服务提供商。
对于那些正在制定新的超级扩展型企业信息安全模型的其他公司,Hodges给出的建议简单而基本:首先履行应尽的职责,不要在出现状况时或之后才有所动作。选择那些具有良好跟踪记录的供应商,同时从他们的主要客户处获取参考意见。遵循与内部系统中部署的相同的安全政策。最重要的是,他说,“如果你觉得在采用某种技术的过程中,不得不放弃一些东西,那么就不要采用这种技术。”
结论
能够根据不断变化的市场情况做出快速响应并更具灵活性的要求意味着超级扩展型企业即将来临。在企业采用这些技术以提高其竞争优势的过程中,他们需要制定新的信息安全的方法,以在利用这些有利机会的同时将风险降至最低。
为此,Cloutier建议,可以考虑以下三个步骤:
1. 向业务部门询问他们对某种技术的使用有什么样的预期,为什么,随后再根据业务部门的实际需求而不是可能的利益或假设的风险做出决定。
2. 对该项技术进行测试,根据其实际性能做出决定。
3. 征询供应商的意见。随着供应商对企业传统边界以外产品支持经验的增加,他们能够分享更多的客户案例,包括成功的和失败的。