解决网络安全问题的三个有效方法
互联网滋生了信息时代,但当下整个网络正处在从最薄弱的环节被攻破的风险之中,时常受到黑客的光顾,使网络安全成为一个日益严峻的管理问题。甚至会成为对经济安全和国家安全最严峻的挑战之一。
由于网络威胁日益增多,而且越来越复杂,网络安全越来越受到重视。企业必须采取确保网络安全的各种措施来抵御无时不在的网络攻击。彻底消除网络安全威胁是不可能的,但可以成立风险委员会——而不是技术委员会——并采取如下措施,解决网络安全问题。
一、采取“业务退守”而不是“技术冲锋”的方式。为了应对网络风险,企业必须彻底改变自己的思维方式。它们不应将修复技术上的薄弱环节(比如说,修补服务器或路由器的漏洞)放在第一位,而应该采取“业务退守”方式,首先保护最重要的业务资产或流程,如客户的信用卡信息。许多大型企业已经实施了持续多年的企业数据分类计划,从而可以将维护网络安全的精力和策略重点放在自己最重要的信息资产上。企业已经开始评估自己在整个价值链中的网络风险状况,澄清对供应商的期望,加强与主要业务伙伴的协作。一些机构已经将网络安全作为客户价值主张的核心部分,建立起一种持续对话机制,讨论如何在既能收集足够的资料以核实客户身份,又不会迫使客户花太多时间来设立或开通自己的网上账户之间保持适当的平衡。对于这些企业来说,网络安全可能代表一个业务机会,因为它们创造了既方便又安全的端到端客户体验。
二、从保护外围设备转向保护数据。大多数企业组织都试图通过围绕其外围设备构建日益严密的防线,来实现网络安全。而现实情况是,一个有目的的攻击者可能会从中发现漏洞——或者一个员工可能会无意中造成一个疏漏(例如,通过偶然用电子邮件发送敏感的客户信息)。与时俱进的企业正在重新定位网络安全架构——从设备和地点到任务和数据。最终,如果将笔记本电脑在企业工作场所接入该网络,可能也只是访问对公众开放的互联网站。不过,如果想要访问企业数据和应用程序,则需要进行身份认证。
安全性将很快成为基础技术架构中的一项基本设计决策。例如,如果将客户的信用卡信息保存在一个单独的数据库中,网络犯罪分子就只有每次都攻破安全防线,才能从事欺诈性交易。将信用卡号码与到期日期分离开来,会大大增加攻击任务的复杂程度。由于一个具有恶意的系统或数据库管理员的危害性可能比即便是最粗心的最终用户都要大得多,因此,一些IT组织已经开始限制能够访问生产系统和数据的人数,不仅是应用程序开发者,而且还包括基础架构的设计者和工程师,都禁止接触“正在运行的机器”。
三、更新网络安全战略,快速应对不断变化的业务需求和安全威胁。企业必须认识到,这是一场持续不断的战斗。新的数字资产以及访问这些数据的机制只不过意味着将会出现新的攻击类型。目前,许多企业都在进行模拟的网络攻击演练,以识别一些未曾发现的漏洞,并培养管理破坏行为的组织能力。一些企业已经形成了收集和分析大量运行数据(如电子邮件标题和IP流量)的先进能力,以及时发现新出现的安全威胁。此外,企业必须将网络安全——如在进入新的地区之前必须实施的信息安全措施——作为实施重大举措或推出新产品的业务策略的一个关键部分。
为确保圆满解决网络安全问题,高管们必须持续不断地进行对话,以确保其安全策略能与时俱进,并在业务机会与风险之间进行适当的折衷权衡。这种对话应该首先从提出以下这些重要问题开始:谁负责制定和维护我们的跨职能网络安全方法?企业领导人(而不是主管IT或风险控制的高管)在多大程度上对此问题负责?哪些信息资产对企业最重要,如果发生了网络攻击事件,哪些价值“面临危险”?对自己的客户和合作伙伴做出了哪些保护他们信息安全的承诺——无论是隐含的承诺,还是明确的承诺?在客户价值主张中,网络安全和信任发挥着什么样的作用,如何采取措施来确保数据安全,并支持端到端的客户体验?如何使用技术、业务流程以及其他方式,来保护自己的关键信息资产?与同行的做法和最佳做法相比,我们的做法效果如何?我们的做法在不断与时俱进,并且一直在相应改变自己的业务流程吗?我们在有效管理自己与供应商和合作伙伴的关系,以确保对信息的相互保护吗?作为一个行业,我们正在与恰当的政府机构有效合作,以减少对网络安全的威胁吗?
综上所述,随着更多的价值在网上转移,以及企业采用更具创新性的方式与客户和其他合作伙伴互动,对网络安全的挑战只会与日俱增。由于网络攻击的危害性、技术性以及IT环境的复杂性都在迅速增加,应对这种挑战需要跨越战略、运营、风险管理、法律和技术等职能的解决方案。为了在不会限制业务创新和增长的前提下保护关键的信息资产,企业需要在高层领导人的指挥下,采取这种范围广泛的管理措施。