国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　正在迅速接受包括、社會網(wǎng)絡(luò)、以及移動在內(nèi)的新工具和技術(shù)，這加速打破了在組織周圍所建立的、并用于保護(hù)它們數(shù)據(jù)資產(chǎn)的傳統(tǒng)邊界。結(jié)果就是“超級擴(kuò)展型企業(yè)”的出現(xiàn)。盡管這種變化幫助公司實(shí)現(xiàn)了他們的戰(zhàn)略目標(biāo)，如削減成本、促進(jìn)創(chuàng)新以及提高內(nèi)部和外部之間的通信水平，但它同時也使組織暴露在了風(fēng)險之下。

　　最近，由公司研究服務(wù)部執(zhí)行的一項(xiàng)調(diào)查對這些風(fēng)險進(jìn)行了調(diào)查研究，并就如何評估并解決這些風(fēng)險給出了建議。主要研究成果如下：

　　·盡管接近一半的受調(diào)查者表示他們已經(jīng)采用了或?qū)⒃诿髂瓴捎眉夹g(shù)，但相當(dāng)一部分都沒有任何評估相關(guān)風(fēng)險的戰(zhàn)略，甚至有些公司在沒有通知公司部門的情況下就部署了這項(xiàng)技術(shù)。

　　·削減成本和創(chuàng)造收益的壓力使它們大大增加了暴露在安全風(fēng)險下的可能性，10個受訪者中有超過8個對這種狀況表示擔(dān)憂。10個受訪者中有超過7個在過去的18個月中遇到過安全問題。

　　·只有44%的受調(diào)查者表示他們已經(jīng)對社會網(wǎng)絡(luò)網(wǎng)站的使用制訂了“可接受的使用”的政策。

　　·多數(shù)受調(diào)查者認(rèn)為他們需要改善企業(yè)安全戰(zhàn)略的方法，以適應(yīng)超級擴(kuò)展型企業(yè)的現(xiàn)狀。

　　分析安全因素之后再做技術(shù)跨越

　　“超級擴(kuò)展型企業(yè)”是指使用新的web和通信技術(shù)，讓遠(yuǎn)多于以往任何時候的客戶在更多地方，能以更豐富的方式相互交換信息的企業(yè)。超級擴(kuò)展型企業(yè)通常在他們?nèi)蚱髽I(yè)內(nèi)部使用這些技術(shù)，以便將外部的客戶、合作伙伴、供應(yīng)商以及其他第三方整合到它們的運(yùn)營中。接近四分之三的受調(diào)查者認(rèn)為他們的組織滿足或?qū)⒑芸鞚M足該定義。

　　然而，調(diào)查結(jié)果卻顯示，加速轉(zhuǎn)變成為超級擴(kuò)展型企業(yè)的趨勢導(dǎo)致許多公司的領(lǐng)導(dǎo)人正走向兩個極端：要么過于急切，要么過于謹(jǐn)慎。

　　這些新技術(shù)所具有的潛力讓一些公司感到振奮，以至于在沒有盡責(zé)任地確保重要流程和數(shù)據(jù)安全的情況下就跨越式的采用了這些新技術(shù)。云計(jì)算就是一個引人注目的例子。在所有受調(diào)查者中，31%表示已經(jīng)至少將一些企業(yè)級或部門的應(yīng)用遷移到了云計(jì)算環(huán)境之中，還有16%稱他們計(jì)劃在明年開始這項(xiàng)工作。一半以上的受調(diào)查者表示他們不清楚如何在使用共享基礎(chǔ)設(shè)施服務(wù)時確保數(shù)據(jù)的完整性和法規(guī)遵從性。多數(shù)受調(diào)查者并沒有清楚地了解云計(jì)算供應(yīng)商將會如何保護(hù)他們的數(shù)據(jù)，或他們企業(yè)的安全團(tuán)隊(duì)在把數(shù)據(jù)遷移到云計(jì)算環(huán)境中后將如何滿足法規(guī)遵從性要求。超過40%的受調(diào)查者表示他們擔(dān)心不能追蹤到他們數(shù)據(jù)的地理位置。最令人驚訝的是，超過四分之一(29%)的受調(diào)查者稱業(yè)務(wù)單位在沒有公司IT部門參與甚至沒有通知他們的情況下就使用了云計(jì)算服務(wù)。

　　然而，即使只有17%的受調(diào)查者已經(jīng)實(shí)際制定了云計(jì)算的安全戰(zhàn)略，但他們中的70%“非常有信心”或“有一定的信心”，稱他們已經(jīng)為企業(yè)云計(jì)算的大規(guī)模采用做好了安全方面的準(zhǔn)備。

　　這種脫節(jié)的情況在被定義圍超級擴(kuò)展型企業(yè)的web和通信技術(shù)中真實(shí)地存在著：只有43%的受調(diào)查者表示在所有情況下他們的安全部門和業(yè)務(wù)部門會共同制定風(fēng)險評估和調(diào)節(jié)流程，而35%的受調(diào)查者稱這兩個部門之間存在著分歧，16%的受調(diào)查者表示安全部門僅在發(fā)生問題的時候才參與其中。另外，一些受調(diào)查者承認(rèn)他們的組織在安全部門不知道的情況下就采用了這些技術(shù)。

　　另一方面，其他的受調(diào)查者卻在積極地避開這些技術(shù)，從而錯失了降低成本，提高公司靈活性，生產(chǎn)效率以及創(chuàng)新能力的機(jī)會。

　　避免過多地暴露在風(fēng)險之下而發(fā)展成超級擴(kuò)展型企業(yè)的明智方法就是瞄準(zhǔn)中間地帶。也就是說將重點(diǎn)從企業(yè)安全戰(zhàn)略轉(zhuǎn)移到在允許數(shù)據(jù)共享的同時仍能保護(hù)其機(jī)密性、完整性和可用性的政策和實(shí)踐上。這種新的方法必須要更加的積極主動，具有更多的協(xié)作性，并開始把重點(diǎn)放在保護(hù)數(shù)據(jù)的安全上，而不管它存放在何處以及誰對它進(jìn)行了訪問。

　　保護(hù)數(shù)據(jù)，而不是信息載體

　　隨著移動設(shè)備的日益增加和虛擬技術(shù)的日漸普及，越來越多的企業(yè)數(shù)據(jù)在多個地方用多種方式進(jìn)行處理，而它們的安全性卻難以保障。受調(diào)查者認(rèn)識到了這一點(diǎn)，大多數(shù)(87%)受調(diào)查者認(rèn)為安全部門須將其重點(diǎn)轉(zhuǎn)移到保護(hù)數(shù)據(jù)上面，而不是保護(hù)含有數(shù)據(jù)的設(shè)備或上。然而，這也要求公司必須要更加清楚地知道數(shù)據(jù)可能存在哪個地方——這是一項(xiàng)復(fù)雜的任務(wù)：83%的受調(diào)查者表示在過去的12到24個月中，他們增加了虛擬化技術(shù)的使用，65%的受調(diào)查者表示它們增加了諸如等消費(fèi)者移動設(shè)備的使用，而企業(yè)的安全團(tuán)隊(duì)平均只支持6種不同類型的終端用戶設(shè)備。

　　當(dāng)公司開始將其重要信息和流程遷移到云計(jì)算環(huán)境中時，這個保護(hù)數(shù)據(jù)的問題將變得更加棘手。受調(diào)查者最擔(dān)心的云計(jì)算問題如下：

　　·供應(yīng)商安全流程缺乏透明度(51%)

　　·技術(shù)不成熟(47%)

　　·保護(hù)數(shù)據(jù)的完整性(45%)

　　·安全標(biāo)準(zhǔn)的缺乏(40%)

　　·不能滿足法規(guī)遵從性要求的風(fēng)險(40%)

　　在事發(fā)后或僅在發(fā)生安全破壞事件時才識別風(fēng)險，坦白的講，對大多數(shù)組織來說都是難以承受后果的冒險。然而，很多組織卻在爭先恐后的采用新技術(shù)，而沒有充分注意到他們所制造的安全問題。對于這個存在的脫節(jié)問題，許多組織都需要明確地優(yōu)先考慮并提高在采用之前進(jìn)行評估和消除風(fēng)險的能力。

　　“這些技術(shù)的采用通常都是基于成本的考慮，它是一種降低運(yùn)營線成本的美妙方法，”位于霍普金斯的公司副總裁兼首席安全官Roland Cloutier說，“企業(yè)不一定認(rèn)識到所涉及的數(shù)據(jù)與知識產(chǎn)權(quán)等成型產(chǎn)品一樣具有很高的價值。”

　　Cloutier說企業(yè)必須清楚地了解它們將要使用、共享或擴(kuò)展的資源、信息和技術(shù)，這樣他們才能對風(fēng)險所采取的措施做出有根據(jù)的決定。例如，他說，他了解到短語“云計(jì)算”用來指企業(yè)外部用來開發(fā)代碼的處理環(huán)境、平臺環(huán)境、軟件即服務(wù)和地點(diǎn)。如果公司不能夠準(zhǔn)確地界定它們要外包的內(nèi)容以及它們想要達(dá)到的最終結(jié)果，它們就不可能恰當(dāng)?shù)膶λ婕暗幕就{和風(fēng)險進(jìn)行評估。

　　考慮到超級擴(kuò)展型企業(yè)與供應(yīng)商和合作伙伴共享數(shù)據(jù)，所以必須在安全風(fēng)險評估中將它們也包含進(jìn)來。盡管47%的受調(diào)查者表示它們與供應(yīng)商和合作伙伴的協(xié)議要求所有分包商必須滿足它們特定的安全要求，但仍有12%的受調(diào)查者表示它們的協(xié)議并沒有要求分包商遵循它們的安全標(biāo)準(zhǔn)，而還有5%的受調(diào)查者表示它們甚至不知道它們的供應(yīng)商和合作伙伴是否使用分包商——特別是對于使用外包服務(wù)的公司來說，這種監(jiān)管是很令人驚訝的。

　　可接受使用的政策制定

　　隨著圍繞在資產(chǎn)和信息周圍的傳統(tǒng)邊界的日漸消失，公司需要對在員工掌握之下的技術(shù)實(shí)行可接受使用的強(qiáng)有力政策。這對于社會網(wǎng)絡(luò)網(wǎng)站和工具(模糊了個人信息和工作信息之間的界線)以及電腦和其他移動設(shè)備(這些設(shè)備的丟失或遭竊會泄露它們所包含的重要數(shù)據(jù))來說尤為重要。

　　本項(xiàng)調(diào)查的受調(diào)查者對社會網(wǎng)絡(luò)web站點(diǎn)表現(xiàn)出了特別的擔(dān)心。只有17%的受調(diào)查者允許隨意的訪問。接近三分之一(30%)直接完全屏蔽了對這些網(wǎng)站的訪問。然而，44%的受調(diào)查者稱他們已經(jīng)制定了可接受使用的政策，對風(fēng)險進(jìn)行了說明，并對員工可以如何使用這些網(wǎng)站進(jìn)行了控制。這些公司明白社會網(wǎng)絡(luò)的存在可以讓員工和客戶能以最小的成本進(jìn)行通訊，但他們也同時認(rèn)識到將用戶無意或惡意泄露機(jī)密信息的風(fēng)險控制在最小范圍內(nèi)的重要性。

　　可接受使用的政策必須確保員工了解如何盡可能安全地使用超級擴(kuò)展型企業(yè)的工具。政策還必須包括對員工生成和訪問的數(shù)據(jù)進(jìn)行監(jiān)控和管理的程序。最重要的是，Cloutier認(rèn)為它們必須在每一種類型的技術(shù)中保持一致，并用工具進(jìn)行支持，以讓用戶知道這些政策。

　　用戶教育和培訓(xùn)

　　對用戶進(jìn)行安全政策的教育不僅僅只是簡單的告訴員工什么樣的內(nèi)容可以或不可以發(fā)布在社會網(wǎng)絡(luò)網(wǎng)站上。它還可以，而且應(yīng)當(dāng)是用成功的方法對員工就如何利用超級擴(kuò)展型企業(yè)的工具以使生產(chǎn)效率和戰(zhàn)略利益最大化進(jìn)行培訓(xùn)的良機(jī)。

　　然而，許多組織顯然沒有做到任何一點(diǎn)。超過70%的受調(diào)查者表示在過去的18個月中遇到過安全問題，最常見的是惡意軟件感染(52%)，數(shù)據(jù)破壞(22%)，或身份盜竊(22%)——如果對用戶進(jìn)行了保護(hù)數(shù)據(jù)重要性的教育，并始終遵守安全政策，所有的這些問題都可以大幅地減少。這些政策畢竟只有在用戶熟悉它們，理解它們?yōu)槭裁捶浅Ｖ匾瑫r遵守最佳實(shí)踐的情況下才會起到作用。

　　“現(xiàn)實(shí)情況是，這就是現(xiàn)今整個世界進(jìn)行通信的方式，” Cloutier說，“企業(yè)所面臨的挑戰(zhàn)就是如何利用web 2.0工具，并將它們無縫并安全地集成到工作流中?！?/P>

　　一種平衡的方法

　　對這些問題進(jìn)行了認(rèn)真思考的其中一個公司就是Inteva Products LLC，這是一家總部設(shè)在密歇根州特洛伊的生產(chǎn)汽車內(nèi)飾和門組件的制造商，它已經(jīng)將其電子郵件，工資和福利以及遷移到了云計(jì)算環(huán)境中，并制定了一系列將其IT組織的重點(diǎn)集中在支持而不是技術(shù)上的戰(zhàn)略，首席信息官Dennis Hodges說。

　　“我們向云計(jì)算供應(yīng)商要了許多有關(guān)他們?nèi)绾伪Ｗo(hù)我們數(shù)據(jù)安全的文檔，”Hodges說，“到目前為止，我們發(fā)現(xiàn)因?yàn)樗麄兊臉I(yè)務(wù)依賴于此，因此他們在安全性上的表現(xiàn)要比我們能做到的好很多——這同時也是由于我們尋找的供應(yīng)商是那些技術(shù)廣受認(rèn)可的供應(yīng)商的緣故?！?/P>

　　Inteva實(shí)行可接受使用的政策，這些政策并非技術(shù)意義上的政策，它要求員工不得損害公司的聲譽(yù)或?qū)⒐久孛芡庑?，這在員工的就業(yè)道德守則和就業(yè)協(xié)議中作了說明。Inteva還會對員工定期進(jìn)行基于云計(jì)算應(yīng)用的培訓(xùn)，盡管這些應(yīng)用幾乎完全在后臺運(yùn)行。在員工使用 Outlook時，Hodges說，他們并不知道他們的電子郵件傳送到了基于云計(jì)算的服務(wù)提供商。

　　對于那些正在制定新的超級擴(kuò)展型企業(yè)信息安全模型的其他公司，Hodges給出的建議簡單而基本：首先履行應(yīng)盡的職責(zé)，不要在出現(xiàn)狀況時或之后才有所動作。選擇那些具有良好跟蹤記錄的供應(yīng)商，同時從他們的主要客戶處獲取參考意見。遵循與內(nèi)部系統(tǒng)中部署的相同的安全政策。最重要的是，他說，“如果你覺得在采用某種技術(shù)的過程中，不得不放棄一些東西，那么就不要采用這種技術(shù)?！?/P>

　　結(jié)論

　　能夠根據(jù)不斷變化的市場情況做出快速響應(yīng)并更具靈活性的要求意味著超級擴(kuò)展型企業(yè)即將來臨。在企業(yè)采用這些技術(shù)以提高其競爭優(yōu)勢的過程中，他們需要制定新的信息安全的方法，以在利用這些有利機(jī)會的同時將風(fēng)險降至最低。

　　為此，Cloutier建議，可以考慮以下三個步驟：

　　1. 向業(yè)務(wù)部門詢問他們對某種技術(shù)的使用有什么樣的預(yù)期，為什么，隨后再根據(jù)業(yè)務(wù)部門的實(shí)際需求而不是可能的利益或假設(shè)的風(fēng)險做出決定。

　　2. 對該項(xiàng)技術(shù)進(jìn)行測試，根據(jù)其實(shí)際性能做出決定。

　　3. 征詢供應(yīng)商的意見。隨著供應(yīng)商對企業(yè)傳統(tǒng)邊界以外產(chǎn)品支持經(jīng)驗(yàn)的增加，他們能夠分享更多的客戶案例，包括成功的和失敗的。