在谈论云计算、BYOD趋势或者IT消费化等话题时,大家都认同的观点是,IT部门必须适应或者接受这些变化。也许最需要改变的是信息安全企业,因为他们面临的风险在不断增加,这不仅仅是因为这些趋势,而且因为整体威胁环境的变化。信息安全人员对威胁采取的态度和方法必须调整,才能有效地保护企业的信息资产。
消失的网络“外围”
很久以前,在网络外围保持强大的防御能力(防火墙、IDS等)是信息安全部门最重要的工作之一。只要外部威胁无法破坏这些防线,他们的工作就很成功。IT部门认为他们的外围安全已经足够,而内部安全控制就更加放松。现在,坚不可摧的外围的概念已经过时了,移动工作人员、BYOD和其他变化打破了这一切,这些趋势给传统网络防御带来重大挑战。
无可否认的是,网络外围是重要的,但随着员工携带笔记本或者智能手机(无论是公司配备的或是个人设备)进出企业的内部网络,或者通过VPN连接甚至开放的互联网来与内部通信,企业必须把注意力放在额外的内部控制上,并假设攻击者将感染这些设备或者它们使用的应用程序来侵入内部网络。然而,尽管面对这些转变,一些IT部门仍然捍卫着这种“无懈可击的”网络外围的概念。
由内而外进行改变
安全部门应该做出的最重要的调整是,改变信息安全对企业的价值的看法。有时候信息安全部门和其他其他部门存在严重的脱节,造成这种局面的原因有很多:例如,安全部门在过去可能已经充当过流量“警察”的角色,惩治那些违反规则的员工,这反过来又将安全部门的塑造成只会说“不”的形象,企业应该避免这种情况的发生,否则这将会让安全部门的工作遇到各种障碍,甚至导致员工无视安全政策或者建议。
改变员工对安全部门的看法可能很困难,但这样做的结果是值得的。安全部门可以开始越来越多地参与不同业务部门和IT部门的日常活动,从而发现影响他们工作的安全控制和政策。这种方法还能够让你更深入地了解每个部门是如何运作的,以及他们所依赖的信息资产,这反过来又可以让你为他们提供有关如何安全有效地运作以及保护期关键资产的实用建议。
分析家和专家们都告诉我们,我们正在进入一个“后PC”时代,但无论你如何定义它,计算已经变得比以往任何时候都更个性化。为了成功地管理和缓解不同部门的风险,安全部门必须深入各个部门的运作,并成为企业的宝贵资产。