在過去的幾個月里，我聽到很多首席信息安全官抱怨說，隨著大量消費者技術(shù)——如社交、視頻、移動和云計算——的快速商用，他們的工作變得越來越困難。

　　這些新技術(shù)帶來了新的風(fēng)險，但是因為從商業(yè)產(chǎn)品角度來看它們的價值巨大，所以首席信息安全官們沒有能力阻止它們的使用。這是一個巨大的浪潮，正如Forrester Research的新書《Empowered》描繪的那樣。而且毋庸置疑的是，這個浪潮正在加速。事實上，F(xiàn)orrester最近的調(diào)查顯示，近40%的不同公司的信息領(lǐng)域工作者使用了某種形式的“自置備”(self-provisioned)技術(shù)。此外，四分之一的公司已準(zhǔn)備使用某種形式的云計算，半數(shù)企業(yè)(Forrester定義的雇員超過1000的公司)已經(jīng)支持至少兩種移動平臺。

　　新技術(shù)的采用速度如此之快，使得安全和風(fēng)險成為首要問題。我聽到過這樣的詢問，如：“在這些技術(shù)被快速采用的情況下，我們?nèi)绾伪Ｕ衔覀兊男畔踩?”以及“我們應(yīng)如何應(yīng)對由社交網(wǎng)絡(luò)、移動平臺和云計算等技術(shù)帶來的風(fēng)險?”IT安全的挑戰(zhàn)是解決不同的技術(shù)所引起的問題，管理隨之而來的風(fēng)險，并最終幫助重塑公司的未來。

　　一個看不見的好處是，這樣的技術(shù)革新浪潮給了企業(yè)重新制定安全策略的機(jī)會。想想這一點：公司數(shù)據(jù)保存在云中，移動設(shè)備正逐漸替代傳統(tǒng)的個人電腦，而社交技術(shù)則實現(xiàn)了人們隨時隨地的臨時協(xié)作。維持現(xiàn)狀的做法根本不會阻礙趨勢的發(fā)展。如果需要時機(jī)來重新審視已有的安全模型的話，那么現(xiàn)在就是時候了。

　　為了幫助企業(yè)開發(fā)新的經(jīng)營模式、以伙伴和支持者的角色成為創(chuàng)新的支點，安全部門的領(lǐng)導(dǎo)人應(yīng)該檢查他們的安全架構(gòu)，確保它適合“授權(quán)(empowered)”環(huán)境。例如，在一個以數(shù)據(jù)為中心的安全模型中，安全保護(hù)應(yīng)著重于數(shù)據(jù)本身，而不是僅僅依靠基礎(chǔ)設(shè)施的安全性。此外，應(yīng)用程序內(nèi)部應(yīng)有安全防御措施，因為現(xiàn)代的威脅幾乎都集中在應(yīng)用層。這種策略對安全軟件、數(shù)據(jù)感知(data-aware)應(yīng)用控制，以及直接內(nèi)嵌在程序內(nèi)部的威脅防御技術(shù)等有重大的價值。最后，系統(tǒng)應(yīng)該具有靈活性，是“可承受攻擊的”(attack-tolerant)。這里最重要的想法是這個系統(tǒng)在發(fā)生安全事件時不會放棄控制權(quán)，也不會崩潰。新的安全模型需要這種“可承受攻擊的”平臺作為建立能夠抵御未來風(fēng)險的系統(tǒng)的基礎(chǔ)。

　　根據(jù)上述原則重新設(shè)計安全體系，不僅提供了防御威脅的機(jī)會，還帶來了控制、處理和架構(gòu)方面的根本性改變，這會令企業(yè)計算的環(huán)境更加安全。

　　為了能夠抓住機(jī)會、抵御這些即將發(fā)生的風(fēng)險，F(xiàn)orrester為安全和風(fēng)險抵御從業(yè)人員建立了最佳的企業(yè)安全實踐方法：

　　發(fā)起或參與核心的管理工作小組。一個理想的工作小組的人員組成應(yīng)包括安全、企業(yè)架構(gòu)、法律法規(guī)、人力資源以及主要業(yè)務(wù)部門的代表等方面的成員。

　　幫助建立采用新技術(shù)的準(zhǔn)則。工作小組的目標(biāo)是建立一系列的新技術(shù)采用標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)應(yīng)包括技術(shù)平臺、風(fēng)險承受等級以及新技術(shù)使用條件等。比如，要外包云計算系統(tǒng)，那么工作小組的任務(wù)就是定義一個云技術(shù)安全檢查列表，供企業(yè)評估安全性成熟度以及云技術(shù)供應(yīng)商的準(zhǔn)備情況。工作小組的作用并不是要對新技術(shù)的采用持批評態(tài)度。相反，工作小組的任務(wù)是創(chuàng)建一系列標(biāo)準(zhǔn)和風(fēng)險評估工具，以便企業(yè)用于新技術(shù)采用決策。

　　定義一套可接受的使用政策或指導(dǎo)。以標(biāo)準(zhǔn)雇員指導(dǎo)規(guī)定開始，但是還要制定具體的規(guī)定，管理新技術(shù)——如社交媒體和移動設(shè)備——的使用。每一項規(guī)定對應(yīng)于每一項新技術(shù)平臺的風(fēng)險。例如，知道如何回應(yīng)網(wǎng)上的負(fù)面評論對社交媒體的溝通是很重要的。

　　與公司內(nèi)部的通信或市場部門合作，對員工進(jìn)行培訓(xùn)。對首席信息安全官們來說，與員工溝通新技術(shù)采用標(biāo)準(zhǔn)和可接受的使用政策是很重要的。最有效的渠道是是已有的內(nèi)部通訊/市場部門。如果企業(yè)沒有這樣職責(zé)鮮明的部門，那么可以和人力資源或員工培訓(xùn)部門合作。

　　確定執(zhí)行策略并實施技術(shù)。建議工作小組是否通過技術(shù)手段發(fā)揮監(jiān)管作用是很有必要的。如果企業(yè)決定要監(jiān)管，首席信息安全官必須根據(jù)需要確定涉及的技術(shù)并實現(xiàn)它們。在選擇特定的技術(shù)之前，需要確定監(jiān)控/管理的對象是什么，誰來實施監(jiān)控以及具體的執(zhí)行步驟。

　　誠然，如巨浪般涌來的技術(shù)(社交、云、視頻、移動)帶來了特殊的風(fēng)險。而IT安全人員的工作就是幫助企業(yè)理解這些風(fēng)險是什么，以及如何防御這些風(fēng)險。記住，正如企業(yè)是為了更好地服務(wù)它們的客戶一樣，IT安全也需要更好地為企業(yè)服務(wù)。但這并不意味著對企業(yè)的要求有求必應(yīng)，而是在不影響安全要求的前提下，調(diào)整安全策略以便和企業(yè)的需求保持一致。如果相信企業(yè)的話，安全和風(fēng)險專家能夠做到這點，他們在這里面的角色是審核，而不是執(zhí)行。