在新冠疫情爆發(fā)之前,很多人理所當(dāng)然地認為,大多數(shù)員工大部分時間都在企業(yè)辦公室工作。然而,在后疫情時代,許多員工可以在任何地方、任何時間、任何有互聯(lián)網(wǎng)連接的設(shè)備上工作。
2020年初,當(dāng)新冠疫情在全球蔓延時,很多企業(yè)紛紛采用在線協(xié)作工具。這些工具具有從語音和視頻會議到文檔共同創(chuàng)作和項目跟蹤的各種功能,可以幫助員工在家中或其他任何地方就各種項目和計劃進行溝通、協(xié)同工作和共享更新。
雖然一些企業(yè)現(xiàn)在鼓勵甚至強制許多員工回到辦公室工作,但協(xié)作工具對業(yè)務(wù)運營仍然至關(guān)重要。技術(shù)研究和咨詢機構(gòu)ISG公司的網(wǎng)絡(luò)安全主管Doug Glair表示,這些協(xié)作工具已經(jīng)成為與在多個地點工作的員工開展業(yè)務(wù)的基本組成部分,無論是在企業(yè)內(nèi)部,還是在外部與客戶、供應(yīng)商和其他第三方打交道。因此,考慮到協(xié)作工具對業(yè)務(wù)的關(guān)鍵價值,企業(yè)需要確保其具有彈性、易用性和安全性。
行業(yè)專家表示,盡管企業(yè)已經(jīng)使用協(xié)作工具好幾年的時間,但他們?nèi)匀辉诜概c新冠疫情早期出現(xiàn)的安全錯誤。
網(wǎng)絡(luò)安全評估機構(gòu)Schellman公司的CEO Avani Desai表示,出現(xiàn)安全方面錯誤的一個主要原因是,協(xié)作工具通常是在業(yè)務(wù)部門內(nèi)部啟用的,而不是在企業(yè)范圍內(nèi)。她說,“也許我想用Asana,其他人想用SharePoint,還有人想用Jira,而執(zhí)行團隊想用另一種工具——這樣用戶訪問權(quán)限就不會在企業(yè)層面上被授予。多年來,用戶訪問一直是一個問題,而且這個問題一直存在。”
調(diào)研機構(gòu)Gartner公司分析師Patrick Hevesi認同Desai的評估。他說:“假設(shè)企業(yè)要求采用的是微軟365或G Suite,或者其他什么協(xié)作工具,但企業(yè)中的其他人想用Slack。一些員工在沒有IT安全部門授權(quán)的情況下添加了更多的協(xié)作工具。”
此外,采用協(xié)作平臺(例如Microsoft Teams、Slack、Box、Dropbox、GitHub、Jira、Asana等)的企業(yè)通常關(guān)注的是生產(chǎn)力方面帶來的好處。管理服務(wù)商GreenPages Technology Solutions公司的安全實踐主管Jay Martin表示,保護這些平臺、通信和他們共享的數(shù)據(jù)通常是事后才想到的事情,如果有人考慮過的話。
他說:“提高它們的安全性對于保護企業(yè)免受尋求專有信息、財務(wù)數(shù)據(jù)、知識產(chǎn)權(quán)等入口的威脅至關(guān)重要。”
行業(yè)媒體詢問了科技行業(yè)分析師、IT服務(wù)提供商和安全顧問,請他們列出了當(dāng)今企業(yè)所犯的最大的協(xié)作安全錯誤,以及如何改正這些錯誤。以下是他們提供的建議。
(1)協(xié)作安全錯誤#1:沒有為協(xié)作工具提供集中治理
安全咨詢機構(gòu)NCC集團風(fēng)險管理和治理技術(shù)總監(jiān)Sourya Biswas表示,如果企業(yè)不提供經(jīng)過審查的協(xié)作工具,員工可能會自己尋找并使用不安全的解決方案。他說,“因此,雖然企業(yè)接受數(shù)字協(xié)作很重要,但同時他們應(yīng)該通過限制本地管理員訪問和托管瀏覽器解決方案等機制來防止安裝和使用未經(jīng)批準(zhǔn)的工具。”
技術(shù)產(chǎn)品和服務(wù)經(jīng)銷商SHI International公司的終端用戶解決方案高級主管Michael McCracken表示,即使協(xié)作工具得到審查和批準(zhǔn),企業(yè)也必須認識到每個員工允許訪問的不同協(xié)作平臺,以防止敏感數(shù)據(jù)被泄露,并避免采用為不良行為者提供新的攻擊載體,技術(shù)產(chǎn)品和服務(wù)的經(jīng)銷商。
此外,IT部門需要保持對這些工具的集中控制,獨立會計和商業(yè)咨詢機構(gòu)Armanino公司的風(fēng)險保證顧問合伙人AJ Yawn表示,“如果有人被解雇,負責(zé)解雇的人是否知道要刪除這些工具的訪問權(quán)限,或者那些被解雇的員工是否仍然可以訪問企業(yè)的敏感數(shù)據(jù)?”
(2)協(xié)作安全錯誤#2:使用不安全的文件共享方法
Schellman公司的Desai表示,許多企業(yè)使用不安全的方法進行文件共享。其中兩個例子是未加密的電子郵件附件和使用未內(nèi)置加密的協(xié)作工具進行的公共文件共享。
她說。“使用不安全的文件共享方法是一個安全問題,因為它可能導(dǎo)致數(shù)據(jù)泄露。”她建議企業(yè)只使用帶有加密功能的安全文件共享平臺。
Desai表示,企業(yè)還應(yīng)該實施安全的文件傳輸協(xié)議。他說,“所以電子郵件應(yīng)該具有我們所說的傳輸層安全,就像在傳輸過程中加密一樣。”
(3)協(xié)作安全錯誤#3:未對顧問和服務(wù)提供商進行盡職調(diào)查
雖然行業(yè)領(lǐng)先的協(xié)作供應(yīng)商提供了強大的安全功能,但通常取決于部署和管理軟件的人員,以確保將其配置為最大的安全性。在許多情況下,特別是在小型企業(yè)中,企業(yè)會向IT顧問或服務(wù)提供商尋求這些服務(wù)。IT服務(wù)和咨詢商TechMahindra公司的首席數(shù)字服務(wù)官Kunal Purohit表示,盡管人們對協(xié)作安全的意識越來越高,但咨詢師和服務(wù)提供商最終還是會犯錯誤,使客戶的數(shù)據(jù)處于危險之中。
這些錯誤包括不充分的訪問控制,例如允許密碼共享或授予過多的特權(quán)。忽視實施強認證措施,例如雙因素身份驗證。他表示,沒有定期更新軟件和系統(tǒng),這可能會形成漏洞。顧問和服務(wù)提供商犯的另一個錯誤是在傳輸或存儲過程中沒有對敏感信息進行加密。Purohit說,“此外,未能進行定期安全審計和評估進一步使企業(yè)面臨風(fēng)險。”
Purohit建議,在聘請任何顧問或服務(wù)提供商之前,企業(yè)應(yīng)該進行徹底的盡職調(diào)查。這包括驗證這些第三方是否具有實現(xiàn)健壯安全措施的可靠歷史。
他說:“企業(yè)應(yīng)該清楚地定義他們的安全需求和期望,并將其包括在與顧問或服務(wù)提供商的合同協(xié)議中。此外,企業(yè)應(yīng)該定期進行安全審計和評估,以識別任何漏洞或違規(guī)行為。”
此外,企業(yè)應(yīng)該執(zhí)行嚴(yán)格的訪問控制。根據(jù)顧問和服務(wù)提供商的具體需求,為他們提供有限的特權(quán)。最重要的是,企業(yè)應(yīng)該與他們建立清晰的溝通渠道,以便及時報告任何安全事件或漏洞。
(4)協(xié)作安全錯誤#4:沒有確保員工使用安全的互聯(lián)網(wǎng)連接
NCC集團的Biswas表示,在世界任何地方通過互聯(lián)網(wǎng)連接進行協(xié)作的能力,為員工連接到咖啡館和機場等公共場所的不安全無線接入點提供了可能性,從而危及通過連接流過的任何數(shù)據(jù)。他表示,虛擬專用網(wǎng)絡(luò)、安全訪問服務(wù)邊緣和零信任網(wǎng)絡(luò)訪問工具解決了這一問題。
領(lǐng)導(dǎo)外包IT服務(wù)團隊的Eisner Amper公司的合伙人Rahul Mahna對此表示贊同。他說:“現(xiàn)在大家都開始旅行或出差,他們開始使用Acela、酒店房間和會議中心提供的免費Wi-Fi連接他們的協(xié)作工具。這些都充滿了安全問題。我總是告訴人們,最安全的連接是綁定自己的手機,因為通信運營商的安全性比從免費Wi-Fi獲得的安全性要好得多。”
不能浪費時間
IT基礎(chǔ)設(shè)施服務(wù)提供商Kyndryl公司的全球安全與彈性業(yè)務(wù)主管Kris Lovejoy表示,協(xié)作是推動當(dāng)今工作場所發(fā)展的驅(qū)動力。新冠疫情改變了企業(yè)的工作方式,數(shù)字化程度的提高推動了企業(yè)業(yè)務(wù)的發(fā)展,但這也擴大了潛在網(wǎng)絡(luò)攻擊可能發(fā)生的范圍。
她說:“如今,現(xiàn)在的問題不是會不會發(fā)生,而是什么時候會發(fā)生。從安全的角度來看,采用協(xié)作工具增加了威脅。這一日益嚴(yán)峻的挑戰(zhàn)為企業(yè)可以采用新的方式來思考威脅提供了一個機會。這就是為什么重新調(diào)整以適應(yīng)網(wǎng)絡(luò)彈性未來至關(guān)重要的原因。”
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號