【IT168 编译】在信息安全论坛(ISF)年度安全讨论大会上,“携带自己的…”趋势成2014年全球企业面临的安全威胁首位。ISF全球副总裁Steve Durbin建议,在新的一年,企业应该对风险管理采取“基于弹性”的方法。
Durbin表示,“企业必须对威胁做好准备,这需要高水平的合作与协作,这将帮助企业快速有效地预防、发现和响应攻击事件。”我们也许可以对付这些威胁中的单个威胁,但当这些威胁结合时,事情就会变得更加复杂。Durbin强调企业应该找到值得信赖的合作伙伴,共同探讨网络安全问题。
以下是2014年企业面临的六大安全威胁:
No.1:BYO趋势
排在首位的是BYO趋势,这里并没有漏掉D,员工不仅携带自己的设备到工作场所,他们还携带自己的电子邮箱账户、云计算存储等。Durbin称:“现在已经不仅仅是移动设备。”
ISF报告中称,“随着越来越多的员工携带移动设备到工作场所,各种规模的企业都开始意识到信息安全风险,这些风险源于内部和外部威胁,包括对设备本身的管理不善,对软件漏洞的外部操纵,以及测试不良的不可靠的业务应用程序等。”
企业应该继续留意事态发展,部署一个良好的计划来应对BYO趋势。
No.2:云计算中的数据隐私问题
Durbin称云计算并没有带来很多风险,只要企业能够解决这些问题:知道企业有多少云计算;其他公司的数据是如何存储在相同服务器上的;企业的存储服务是否被转包;当与云计算供应商的合同终止时,企业是否有明确的后续计划。
ISF称,“虽然云计算服务有着明显的成本和效率优势,企业也应该关注信息安全隐患问题,企业必须知道他们保存的信息是否是个人可识别信息(PII),是否需要足够的保护。”
No.3:声誉受损
Garcia Cyber Partners负责人Greg Garcia称现在有两种类型的公司:已经遭受过攻击的公司和即将遭受攻击的公司。
有些企业天真地认为他们不会遭受攻击,或者认为企业不会受到攻击的影响。改变这种想法的方法之一是聚集企业关键人员,看看他们各自将会如何对攻击作出反应。
Garcia称:“对于你的营销经理、你的投资服务主管、你的人力资源团队而言,攻击意味着什么?”当攻击有可能导致企业股价暴跌时,大家才会引起高度重视。
No.4:隐私保护和监管
ISF称,企业需要将隐私问题视为合规风险和业务风险。其报告称:“我们开始看到越来越多围绕信息收集、存储和使用的法律法规,特别是在欧盟,而且对于数据丢失和泄漏事故通知方面都有重罚。对此,企业应该加强监管管理,不仅仅是对安全团队,还应该涵盖人力资源、法律部门以及董事会成员。”
No.5:网络犯罪
Durbin和Garcia都强调精明的犯罪分子正在协作来共同发动攻击。Garcia称:“坏人们非常懂得协作的意义,因为协作能够为他们带来巨大的优势。”企业不仅要面对这些强大的网络罪犯,而且还要应对各种监管合规问题。“意识到这些问题的企业将会加强其防御能力,从而减少这些不可预见的影响。”
No.6:物联网
高速网络和物联网将会创造这样的场景,即汽车能够提前预测到堵车情况,并了解其驾驶员无法及时赶到机场,它会联系机场改变航班。Durbin表示:“但是如果这种信息落入坏人的手中,就会带来破坏性的影响。”
企业可能无法每次避免这种严重的事故,同时,很少有企业有“成熟的结构化的方法来分析问题所在”。他补充说:“通过对网络安全采取广泛的合作的方法,政府部门、监管机构、高级业务经理和信息安全专业人员将能够更好地了解网络威胁的本质,并迅速和适当地作出反应。”