在信息安全論壇(ISF)年度安全討論大會上,“攜帶自己的…”趨勢成2014年全球企業(yè)面臨的安全威脅首位。ISF全球副總裁Steve Durbin建議,在新的一年,企業(yè)應(yīng)該對風(fēng)險管理采取“基于彈性”的方法。
Durbin表示,“企業(yè)必須對威脅做好準(zhǔn)備,這需要高水平的合作與協(xié)作,這將幫助企業(yè)快速有效地預(yù)防、發(fā)現(xiàn)和響應(yīng)攻擊事件。”我們也許可以對付這些威脅中的單個威脅,但當(dāng)這些威脅結(jié)合時,事情就會變得更加復(fù)雜。Durbin強(qiáng)調(diào)企業(yè)應(yīng)該找到值得信賴的合作伙伴,共同探討網(wǎng)絡(luò)安全問題。
以下是2014年企業(yè)面臨的六大安全威脅:
No.1:BYO趨勢
排在首位的是BYO趨勢,這里并沒有漏掉D,員工不僅攜帶自己的設(shè)備到工作場所,他們還攜帶自己的電子郵箱賬戶、云計算存儲等。Durbin稱:“現(xiàn)在已經(jīng)不僅僅是移動設(shè)備。”
ISF報告中稱,“隨著越來越多的員工攜帶移動設(shè)備到工作場所,各種規(guī)模的企業(yè)都開始意識到信息安全風(fēng)險,這些風(fēng)險源于內(nèi)部和外部威脅,包括對設(shè)備本身的管理不善,對軟件漏洞的外部操縱,以及測試不良的不可靠的業(yè)務(wù)應(yīng)用程序等。”
企業(yè)應(yīng)該繼續(xù)留意事態(tài)發(fā)展,部署一個良好的計劃來應(yīng)對BYO趨勢。
No.2:云計算中的數(shù)據(jù)隱私問題
Durbin稱云計算并沒有帶來很多風(fēng)險,只要企業(yè)能夠解決這些問題:知道企業(yè)有多少云計算;其他公司的數(shù)據(jù)是如何存儲在相同服務(wù)器上的;企業(yè)的存儲服務(wù)是否被轉(zhuǎn)包;當(dāng)與云計算供應(yīng)商的合同終止時,企業(yè)是否有明確的后續(xù)計劃。
ISF稱,“雖然云計算服務(wù)有著明顯的成本和效率優(yōu)勢,企業(yè)也應(yīng)該關(guān)注信息安全隱患問題,企業(yè)必須知道他們保存的信息是否是個人可識別信息(PII),是否需要足夠的保護(hù)。”
No.3:聲譽(yù)受損
Garcia Cyber Partners負(fù)責(zé)人Greg Garcia稱現(xiàn)在有兩種類型的公司:已經(jīng)遭受過攻擊的公司和即將遭受攻擊的公司。
有些企業(yè)天真地認(rèn)為他們不會遭受攻擊,或者認(rèn)為企業(yè)不會受到攻擊的影響。改變這種想法的方法之一是聚集企業(yè)關(guān)鍵人員,看看他們各自將會如何對攻擊作出反應(yīng)。
Garcia稱:“對于你的營銷經(jīng)理、你的投資服務(wù)主管、你的人力資源團(tuán)隊而言,攻擊意味著什么?”當(dāng)攻擊有可能導(dǎo)致企業(yè)股價暴跌時,大家才會引起高度重視。
No.4:隱私保護(hù)和監(jiān)管
ISF稱,企業(yè)需要將隱私問題視為合規(guī)風(fēng)險和業(yè)務(wù)風(fēng)險。其報告稱:“我們開始看到越來越多圍繞信息收集、存儲和使用的法律法規(guī),特別是在歐盟,而且對于數(shù)據(jù)丟失和泄漏事故通知方面都有重罰。對此,企業(yè)應(yīng)該加強(qiáng)監(jiān)管管理,不僅僅是對安全團(tuán)隊,還應(yīng)該涵蓋人力資源、法律部門以及董事會成員。”
No.5:網(wǎng)絡(luò)犯罪
Durbin和Garcia都強(qiáng)調(diào)精明的犯罪分子正在協(xié)作來共同發(fā)動攻擊。Garcia稱:“壞人們非常懂得協(xié)作的意義,因為協(xié)作能夠為他們帶來巨大的優(yōu)勢。”企業(yè)不僅要面對這些強(qiáng)大的網(wǎng)絡(luò)罪犯,而且還要應(yīng)對各種監(jiān)管合規(guī)問題。“意識到這些問題的企業(yè)將會加強(qiáng)其防御能力,從而減少這些不可預(yù)見的影響。”
No.6:物聯(lián)網(wǎng)
高速網(wǎng)絡(luò)和物聯(lián)網(wǎng)將會創(chuàng)造這樣的場景,即汽車能夠提前預(yù)測到堵車情況,并了解其駕駛員無法及時趕到機(jī)場,它會聯(lián)系機(jī)場改變航班。Durbin表示:“但是如果這種信息落入壞人的手中,就會帶來破壞性的影響。”
企業(yè)可能無法每次避免這種嚴(yán)重的事故,同時,很少有企業(yè)有“成熟的結(jié)構(gòu)化的方法來分析問題所在”。他補(bǔ)充說:“通過對網(wǎng)絡(luò)安全采取廣泛的合作的方法,政府部門、監(jiān)管機(jī)構(gòu)、高級業(yè)務(wù)經(jīng)理和信息安全專業(yè)人員將能夠更好地了解網(wǎng)絡(luò)威脅的本質(zhì),并迅速和適當(dāng)?shù)刈鞒龇磻?yīng)。”
京公網(wǎng)安備 11010502049343號