在當(dāng)前的信息安全領(lǐng)域，2014年已經(jīng)成為極不平凡的一年——網(wǎng)絡(luò)威脅與數(shù)據(jù)泄露等事故以幾乎永無止境之勢一波波襲來，給零售業(yè)、銀行業(yè)、游戲網(wǎng)絡(luò)以及政府機(jī)關(guān)等行業(yè)造成巨大沖擊。

雖然2014年已過去，但我們可以預(yù)計(jì)埡網(wǎng)絡(luò)威脅在規(guī)模、嚴(yán)重程度以及復(fù)雜性等方面勢必有增無減， 展望步步走來的2015年，小編為接下來的一年整理出五大將占據(jù)主導(dǎo)性的安全發(fā)展趨勢。

1.網(wǎng)絡(luò)犯罪

互聯(lián)網(wǎng)已經(jīng)成為一片吸引力越來越大的犯罪分子、激進(jìn)分子乃至恐怖分子的淘金地，他們在這里通過各種非法手段賺取收益，甚至包括通過在線攻擊活動中斷甚至導(dǎo)致企業(yè)及政府業(yè)務(wù)全面停機(jī)

當(dāng)下網(wǎng)絡(luò)犯罪活動主要由前蘇聯(lián)各成員國所發(fā)起。這些國家擁有水平極高的相關(guān)技能并配備高度現(xiàn)代化工具，他們通常會利用二十一世紀(jì)工具沖擊于二十世紀(jì)構(gòu)建而成的系統(tǒng)。

2015年，企業(yè)必須為預(yù)期之外的安全問題做好準(zhǔn)備，從而保證自身有能力承受無法預(yù)料且影響極大的相關(guān)事故，隨著網(wǎng)絡(luò)規(guī)模的持續(xù)增長、合規(guī)性保障的必要成本不斷提升以及針對現(xiàn)有安全保護(hù)措施的攻擊技術(shù)投入的進(jìn)一步加大，網(wǎng)絡(luò)犯罪活動將掀起一股安全威脅新高潮。企業(yè)需要對業(yè)務(wù)依賴性關(guān)系做出更為明確的定性，從而更好地實(shí)現(xiàn)業(yè)務(wù)用例的彈性投資量化效果，最終最大程度削減意外狀況帶來的實(shí)際影響。

2. 隱私與監(jiān)管

大部分政府機(jī)關(guān)已經(jīng)創(chuàng)建出或者正在逐步創(chuàng)建相關(guān)規(guī)章制度，旨在保證個人可識別信息(簡稱PII)資產(chǎn)的維護(hù)與使用，而未能確切遵循相關(guān)要求并對上述信息加以保護(hù)的組織則面臨著遭受懲罰的風(fēng)險(xiǎn)。有鑒于此，組織需要將隱私作為一項(xiàng)合規(guī)性與業(yè)務(wù)風(fēng)險(xiǎn)問題進(jìn)行考量，從而減少監(jiān)控制裁以及各類業(yè)務(wù)成本——例如企業(yè)信譽(yù)受損以及因隱私侵犯導(dǎo)致的客戶流失狀況。

而全球范圍內(nèi)不同區(qū)域所采取的監(jiān)管機(jī)制在彼此結(jié)合與雜糅之后，也很可能在2015年讓企業(yè)面臨更為沉重的安全保障性負(fù)擔(dān)。

企業(yè)應(yīng)當(dāng)關(guān)注歐盟對于數(shù)據(jù)泄露法規(guī)與隱私保護(hù)制度視為基準(zhǔn)性參考標(biāo)準(zhǔn)，并據(jù)此組織起相應(yīng)的安全規(guī)劃。

監(jiān)管機(jī)構(gòu)與政府部門正積極參與其中，而這給企業(yè)帶來了更為沉重的負(fù)擔(dān)。企業(yè)需要為此配備更為豐富的應(yīng)對性資源，并需要深入了解安全態(tài)勢的發(fā)展?fàn)顩r。如果大家所在企業(yè)中已經(jīng)聘請了內(nèi)部法律顧問，那么他們發(fā)揮作用的時(shí)候就是現(xiàn)在。如果還沒有聘請此類人員，則需要盡快將其納入成本規(guī)劃。

3.來自第三方供應(yīng)商的安全威脅

供應(yīng)鏈?zhǔn)敲恳患移髽I(yè)在全球性業(yè)務(wù)運(yùn)營體系當(dāng)中的重要組成部分，甚至已經(jīng)成為全球經(jīng)濟(jì)體驗(yàn)中的支柱與主干。安全事務(wù)負(fù)責(zé)人們已經(jīng)開始越來越多地關(guān)注自身企業(yè)在面對無數(shù)風(fēng)險(xiǎn)因素時(shí)的開放程度。供應(yīng)商往往能夠共享到一系列有價(jià)值甚至是敏感性信息，而在信息處于共享狀態(tài)時(shí)、與之相關(guān)的直接控制機(jī)制也將失去效力。這無疑將導(dǎo)致信息在保密性、完整性以及可用性等層面面臨更為嚴(yán)重的安全風(fēng)險(xiǎn)。

在未來一年中，第三方供應(yīng)商將進(jìn)一步面臨來自針對性攻擊活動的威脅壓力，而且很可能無法保障其所涉及數(shù)據(jù)的機(jī)密性、完整性以及/或者可用性，各類規(guī)模的企業(yè)都需要認(rèn)真考量供應(yīng)商帶來負(fù)面意外狀況的可能性，其中具體涉及知識產(chǎn)權(quán)、客戶或員工信息、商業(yè)計(jì)劃或者談判內(nèi)容等等。而這類思路對于負(fù)責(zé)制造或者分發(fā)的合作伙伴也同樣適用。我們還應(yīng)將專業(yè)服務(wù)供應(yīng)商、律師以及會計(jì)人員視為潛在高風(fēng)險(xiǎn)群體，因?yàn)樗麄兺材茌p松訪問到最具價(jià)值的數(shù)據(jù)資產(chǎn)。

信息安全專家應(yīng)當(dāng)與負(fù)責(zé)按照合約提供服務(wù)的供應(yīng)方保持更為緊密的合作關(guān)系，并從盡職性調(diào)查的角度出發(fā)對潛在威脅進(jìn)行徹底排查。

當(dāng)務(wù)之急在于，企業(yè)需要構(gòu)建起穩(wěn)固的業(yè)務(wù)持續(xù)性規(guī)劃、從而改善相關(guān)彈性并提振高管團(tuán)隊(duì)對于功能交付能力的信心，一套結(jié)構(gòu)良好的供應(yīng)鏈信息風(fēng)險(xiǎn)評估方案能夠提供詳盡的分步式實(shí)施方法，從而將艱巨的項(xiàng)目管理工作拆分成一個個易于完成的步驟性目標(biāo)。此類方案應(yīng)該由信息驅(qū)動而非以供應(yīng)商為中心，因此能夠在不同企業(yè)環(huán)境下具備可擴(kuò)展能力與可重復(fù)利用特性。

4.辦公環(huán)境中的BYOx趨勢

自帶xx(即BYOx)”趨勢已經(jīng)客觀存在，無論企業(yè)或組織是否認(rèn)同，而且就目前來看、幾乎沒有多少企業(yè)能夠真正就此開發(fā)出良好的指導(dǎo)性政策方案。

隨著員工不斷將自有移動設(shè)備、應(yīng)用程序、基于云環(huán)境的存儲機(jī)制以及辦公環(huán)境訪問機(jī)制引入企業(yè)環(huán)境，各類規(guī)模的組織逐漸發(fā)現(xiàn)防范信息安全風(fēng)險(xiǎn)的工作難度已經(jīng)達(dá)到前所未有的新高度，此類風(fēng)險(xiǎn)貫穿企業(yè)內(nèi)部與外部，包括設(shè)備本身管理不善、針對軟件漏洞的外部利用以及未經(jīng)嚴(yán)格測試且非可靠性業(yè)務(wù)應(yīng)用的部署等等。

如果大家發(fā)現(xiàn)目前所在企業(yè)中的BYOx類風(fēng)險(xiǎn)過高，則至少需要確保對事態(tài)的進(jìn)一步發(fā)展保持關(guān)注與了解。如果大家認(rèn)為此類風(fēng)險(xiǎn)尚在可接受范圍之內(nèi)，那么以此為基礎(chǔ)建立一套具備良好架構(gòu)的BYOx實(shí)施方案也未嘗不可。

請記住，如果實(shí)施手段存在問題，那么辦公環(huán)境下的個人設(shè)備戰(zhàn)略很可能面臨著意外泄露事故的侵?jǐn)_，其中包括工作與個人數(shù)據(jù)邊界模糊以及大量業(yè)務(wù)信息由未受保護(hù)的消費(fèi)級設(shè)備所保存及訪問，實(shí)際上我們做好應(yīng)對最差情況的準(zhǔn)備，即在制定反BYOx管理政策的情況下、用戶仍然想盡一切辦法利用自有設(shè)備處理日常工作。

5. 致力于人為因素的控制

談到這一話題，我們就不能不提每家企業(yè)當(dāng)中規(guī)模最龐大的資產(chǎn)兼且最為脆弱的目標(biāo)：人。

在過去幾十年中，企業(yè)已經(jīng)花費(fèi)成百上千萬、甚至數(shù)十億美元推動信息安全意識的普及工作。這種作法的深層理由在于，企業(yè)意識到人作為業(yè)務(wù)活動中基本要素的巨大影響能力，并希望利用此類方案改變其行為方式、從而依靠每一位員工對于職責(zé)及正確實(shí)踐方式的認(rèn)知對抗各類潛在安全風(fēng)險(xiǎn)。

不過殘酷的事實(shí)已經(jīng)并仍在不斷證明，這種價(jià)值主張根本無從實(shí)現(xiàn)相反，企業(yè)需要以更為積極主動的安全態(tài)度調(diào)整自身業(yè)務(wù)流程，將員工由風(fēng)險(xiǎn)根源轉(zhuǎn)化為企業(yè)安全事務(wù)中的第一道強(qiáng)大防線。

隨著2015年的逐漸來臨，企業(yè)需要轉(zhuǎn)變思維、由以往的問題發(fā)現(xiàn)轉(zhuǎn)化為創(chuàng)建對應(yīng)解決方案并將能夠切實(shí)消減風(fēng)險(xiǎn)程度的信息安全保障手段融入其中，風(fēng)險(xiǎn)真實(shí)存在，因?yàn)槿藗兊膶?shí)際表現(xiàn)仍是個‘未知數(shù)’。很多企業(yè)已經(jīng)意識到人力是其規(guī)模最為龐大的資產(chǎn)類型，而大部分員工仍然無法清醒意識到‘人為因素’在信息安全領(lǐng)域中的重要地位。從本質(zhì)角度看，人為因素應(yīng)當(dāng)是一家企業(yè)強(qiáng)大控制體系中的重要甚至核心組成部分。

D1Net評論：

總而言之，相對于單純要求員工了為相關(guān)信息安全負(fù)責(zé)并掌握應(yīng)對措施，各類規(guī)模企業(yè)真正該做的是引入積極的信息安全控制手段，從而將‘三思而后行’作為組織中信息安全文化中的一大良好習(xí)慣與立足根基，盡管多數(shù)企業(yè)都擁有現(xiàn)成的合規(guī)性實(shí)施方案，但‘安全意識’的缺失往往使其無法切實(shí)起效。真正的商業(yè)性驅(qū)動力應(yīng)該在于風(fēng)險(xiǎn)本身以及如何利用新型應(yīng)對方式降低此類風(fēng)險(xiǎn)。