www.366.net

CISO须正确评估疫情对安全的长期影响

2020-07-07 09:30:49 《计算机世界》 2020年24期

Dan Swinhoe

随着疫情隔离的逐步解除,首席信息安全官需要预测其部门今后将怎样运转,以及怎样保护员工和资产。最有可能的变化是为更多居家工作的员工提供长期支撑。据(ISC)2在4月份发布的一份报告,96%的企业已经至少将一部分员工转为远程工作,其中近一半的企业允许所有员工不在办公室工作。

这场危机也是重新思考总体安全战略和计划的机会,包括技术选择、与业务部门的合作以及安全教育和培训。

远程工作对某些员工来说将是永久性的

Gartner的一项调查发现,3/4的企业预计在疫情结束后,至少有5%以前在企业办公室工作的员工将长期居家工作。可再生能源资产管理企业WiseEnergy的首席信息官兼首席信息安全官Rafael Narezzi预测,这将对企业的实际工作安排产生长期影响,也意味着对首席信息安全官怎样管理员工产生长尾效应。他说:“当大家回来后,一切都变了,我认为对办公室不再有需求了。我的企业原本想扩大办公室场地,但现在有了疑问:大家到底是否需要更大的办公室?”

Narezzi先容说,大家早就做好了准备工作,因此能够迅速将业务转为远程工作模式,这不仅说明过去的支出是合理的,而且也有利于未来的论证。“一年来,我的部门一直在努力地把所有一切都转为能够在任何地方开展工作。企业认识到,大家为了保护业务、使企业在任何地方都能开展工作而要求的所有资金,都得到了回报,而且投资回报是合理的。”

长期居家工作面临的安全挑战

如果大规模的居家工作将成为企业运转的固定方式,则很可能不得不重新评估不同的人在不同的情形下带来的风险。《数字卫报》(Digital Guardian)发现,在封锁隔离期间,企业数据流出量增加了80%,其中,传送到U盘的数据量增加了123%,上传到云存储服务的数据量也大幅飙升。据BitGlass的一项远程工作研究,用户培训、家庭网络安全和个人设备是企业目前面临的三大安全挑战,其次是企业外部的敏感数据、缺乏可见性以及新安全解决方案和许可的额外成本。

财富管理企业Rathbone Brothers的网络安全主管Ste Watts评论说:“有的人希翼在安全的前提下尽快回到办公室;而有的人则希翼继续保持远程工作,享受远程工作的自由和灵活。这就要求大家的网络安全和风险部门从长计议,包括远程打印、使用个人设备访问企业网络以及远程工作场所的物理安全等等问题。”

Dimensional Research的报告发现,一半以上的企业已经开始寻找新的工具来应对后疫情时期的环境,42%的企业投资于员工培训,帮助员工掌握适应新常态所需的新技能。然而,尽管风险增加了,《首席信息官的新冠病毒影响研究》表明,对于首席信息官而言,数字化转型和用户体验比安全更为重要。首席信息安全官应与业务部门一起努力,在前进的道路上一定要重视安全问题。

Watts说:“一个优秀的领导团队应该认识到,这些情况会带来额外的风险,因此,领导团队和网络安全部门应加强合作,在需要时找到最合适的方案。企业应以既定的风险承受能力作为底线,确保在可接受的风险范围内取得投资效益,兼顾风险和收益。”

首席信息安全官仍然需要有可靠的过程,以便将补丁发布到那些很少(如果有的话)连接到企业网络的设备上。B2B支付企业AvidXchange还使用了Office 365,预计负载会增加,因此将VPN带宽提高了一倍。所以,该企业首席信息安全官Christina Quaine通知用户,要求他们通过VPN定期连接,以接收企业设备的补丁。她说:“有很多人不一定需要登录VPN,但如果他们不登录网络,他们的笔记本电脑就得不到最新的补丁。”

学问变革需要首席信息安全官的领导

Watts认为,首席信息安全官不应该让危机白白浪费掉,此次疫情其实就是一个机会,让董事会有更多的时间,去做一些以前可能做不到的事情。他说:“疫情迫使很多企业采用以前不需要的技术和流程,也没有计划以如此快的速度和规模采用这些技术和流程。这反过来又是一个很好的机会,证明网络安全不是拦路虎,而是能够帮助企业实现目标的功能。”

Watts补充说:“优秀的安全领导们将利用网络威胁情报定期向董事会通报情况。在此次疫情之前,有些企业可能还没有出现类似情况,但今后这应该继续下去。”

“显然,这场疫情已经证明,只要有正确的动机和工作重点,就有可能做到这些。这并不是说,所有新的举措都应该像最近一样,以同样的方式进行,而是表明良好的沟通和基于风险的快速决策是可能的,这将为企业带来新的机遇。”

WiseEnergy企业的Narezzi先容说,在危机开始时,其企业发现攻击企图增加了600%,主要是通过网络钓鱼和其他社会工程诈骗。然而,他已经实现了居家办公,因此避免了很多企业在隔离之初面临的极度混乱的状态。“大家很幸运。去年,大家开始计划能够在任何地方开展工作,因此当危机来临时,大家早已做好了准备。”

尽管做了准备,还是出现了病毒和隔离状况才促使员工们采用新功能。虽然有了支撑远程工作的技术,但员工们仍在坚持疫情之前的旧工作方式。Narezzi说:“最困难的是让员工们居家工作。企业對此提供了支撑,但员工们不相信他们能远程工作。然后新冠病毒来了,所以没有其他选择。但结果非常好。”

然而,一旦员工在家工作,他们可能会放松安全警惕。Tessian的一项新研究表明,只有不到一半的员工居家工作时采取过数据安全措施。如果企业想让员工遵守流程和政策,那么首席信息安全官应针对居家安全工作而灌输一种强大的安全学问。

一些企业每天都在全企业范围内举行“聚会”,首席信息安全官分享安全建议和技巧,让员工了解关键的安全信息。即使在员工们返回办公室后不再继续这类会议,首席信息安全官也应利用建立起来的沟通机制,定期提醒员工们怎样保持安全。

Watts认为,在网络安全方面经常进行沟通,会促使员工以更好的主人翁精神来保持企业的安全。他说:“这种对网络安全的新关注也帮助员工意识到他们是解决方案的一部分。所谓的‘人类防火墙从来没有比现在更为重要,我认为与疫情之前相比,无论是在工作场所还是在家里,这都开始在团队中引起了更多的共鸣,这对行业来说只能是件好事。”

重新思考安全工作人员

这场疫情正促使企业重新思考哪些技术和流程对业务来说是真正至关重要的。Narezzi预测,既然疫情危机已经证明大多数工作都是可以远程完成的,那么更多的首席信息安全官将开始外包安全运营。他说:“今天,你购买了技术,后续还得购买劳动力来监测和控制技术。那些准备远程工作和基于云计算开展工作的企业将在不同国家以数字方式分配流程,以节省成本。现在不需要按照英国的价格来购买SOC。如果能在墨西哥或者其他成本更低的国家得到更好的价格,何妨一试呢?”

AvidXchange企业的Quaine说,此次疫情不仅是识别和支撑关键流程和重新调整资源的机会,而且也是能够在任何地方完成工作的机会。“我认为疫情让大家的部门拓宽了视野,认识到一部分部门员工可以居家工作,而这是以前从未想到过的。这给了大家更多的机会,不再局限于在大家办公室所在的地方广招人才。与本地招聘不同,大家可以在全国范围内聘用最好的人才,把设备运送给他们。”

然而,尽管疫情是特殊情况,但确实显示了与远程工作员工定期沟通的好处,以确保他们不会过度劳累,不至于精疲力尽。Quaine说:“由于支撑远程工作,没有了通勤时间,大家有更多的时间投入到工作中,而我更加关心我的部门了。每天下班的时候,我都会和他们联系,看看大家做得怎么样,别的部门怎么样,不要让大家觉得自己完全被锁在电脑里了。”

Quaine還说:“因为部门每天都要开电话会议,我觉得团队的凝聚力反而更强了。大家不光讨论信息安全,还会八卦一下某位歌星的趣闻。大家相互间联系得更多了,我认为这对大家的部门很有好处。”

Dan Swinhoe是CSO在线的英国编辑。

原文网址

https://www.csoonline.com/article/3546428/whats-next-cisos-weigh-in-on-covids-long-term-effects-on-security.html

XML 地图 | Sitemap 地图