Dan Swinhoe

隨著疫情隔離的逐步解除，首席信息安全官需要預(yù)測(cè)其部門今后將怎樣運(yùn)轉(zhuǎn)，以及怎樣保護(hù)員工和資產(chǎn)。最有可能的變化是為更多居家工作的員工提供長(zhǎng)期支持。據(jù)（ISC）2在4月份發(fā)布的一份報(bào)告，96%的企業(yè)已經(jīng)至少將一部分員工轉(zhuǎn)為遠(yuǎn)程工作，其中近一半的企業(yè)允許所有員工不在辦公室工作。

這場(chǎng)危機(jī)也是重新思考總體安全戰(zhàn)略和計(jì)劃的機(jī)會(huì)，包括技術(shù)選擇、與業(yè)務(wù)部門的合作以及安全教育和培訓(xùn)。

遠(yuǎn)程工作對(duì)某些員工來(lái)說(shuō)將是永久性的

Gartner的一項(xiàng)調(diào)查發(fā)現(xiàn)，3/4的企業(yè)預(yù)計(jì)在疫情結(jié)束后，至少有5%以前在企業(yè)辦公室工作的員工將長(zhǎng)期居家工作?？稍偕茉促Y產(chǎn)管理公司W(wǎng)iseEnergy的首席信息官兼首席信息安全官Rafael Narezzi預(yù)測(cè)，這將對(duì)企業(yè)的實(shí)際工作安排產(chǎn)生長(zhǎng)期影響，也意味著對(duì)首席信息安全官怎樣管理員工產(chǎn)生長(zhǎng)尾效應(yīng)。他說(shuō)：“當(dāng)我們回來(lái)后，一切都變了，我認(rèn)為對(duì)辦公室不再有需求了。我的公司原本想擴(kuò)大辦公室場(chǎng)地，但現(xiàn)在有了疑問(wèn)：我們到底是否需要更大的辦公室？”

Narezzi介紹說(shuō)，我們?cè)缇妥龊昧藴?zhǔn)備工作，因此能夠迅速將業(yè)務(wù)轉(zhuǎn)為遠(yuǎn)程工作模式，這不僅說(shuō)明過(guò)去的支出是合理的，而且也有利于未來(lái)的論證?！耙荒陙?lái)，我的部門一直在努力地把所有一切都轉(zhuǎn)為能夠在任何地方開展工作。企業(yè)認(rèn)識(shí)到，我們?yōu)榱吮Ｗo(hù)業(yè)務(wù)、使企業(yè)在任何地方都能開展工作而要求的所有資金，都得到了回報(bào)，而且投資回報(bào)是合理的?！?h3>長(zhǎng)期居家工作面臨的安全挑戰(zhàn)

如果大規(guī)模的居家工作將成為企業(yè)運(yùn)轉(zhuǎn)的固定方式，則很可能不得不重新評(píng)估不同的人在不同的情形下帶來(lái)的風(fēng)險(xiǎn)。《數(shù)字衛(wèi)報(bào)》（Digital Guardian）發(fā)現(xiàn)，在封鎖隔離期間，企業(yè)數(shù)據(jù)流出量增加了80%，其中，傳送到U盤的數(shù)據(jù)量增加了123%，上傳到云存儲(chǔ)服務(wù)的數(shù)據(jù)量也大幅飆升。據(jù)BitGlass的一項(xiàng)遠(yuǎn)程工作研究，用戶培訓(xùn)、家庭網(wǎng)絡(luò)安全和個(gè)人設(shè)備是企業(yè)目前面臨的三大安全挑戰(zhàn)，其次是企業(yè)外部的敏感數(shù)據(jù)、缺乏可見性以及新安全解決方案和許可的額外成本。

財(cái)富管理公司Rathbone Brothers的網(wǎng)絡(luò)安全主管Ste Watts評(píng)論說(shuō)：“有的人希望在安全的前提下盡快回到辦公室;而有的人則希望繼續(xù)保持遠(yuǎn)程工作，享受遠(yuǎn)程工作的自由和靈活。這就要求我們的網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)部門從長(zhǎng)計(jì)議，包括遠(yuǎn)程打印、使用個(gè)人設(shè)備訪問(wèn)公司網(wǎng)絡(luò)以及遠(yuǎn)程工作場(chǎng)所的物理安全等等問(wèn)題。”

Dimensional Research的報(bào)告發(fā)現(xiàn)，一半以上的企業(yè)已經(jīng)開始尋找新的工具來(lái)應(yīng)對(duì)后疫情時(shí)期的環(huán)境，42%的企業(yè)投資于員工培訓(xùn)，幫助員工掌握適應(yīng)新常態(tài)所需的新技能。然而，盡管風(fēng)險(xiǎn)增加了，《首席信息官的新冠病毒影響研究》表明，對(duì)于首席信息官而言，數(shù)字化轉(zhuǎn)型和用戶體驗(yàn)比安全更為重要。首席信息安全官應(yīng)與業(yè)務(wù)部門一起努力，在前進(jìn)的道路上一定要重視安全問(wèn)題。

Watts說(shuō)：“一個(gè)優(yōu)秀的領(lǐng)導(dǎo)團(tuán)隊(duì)?wèi)?yīng)該認(rèn)識(shí)到，這些情況會(huì)帶來(lái)額外的風(fēng)險(xiǎn)，因此，領(lǐng)導(dǎo)團(tuán)隊(duì)和網(wǎng)絡(luò)安全部門應(yīng)加強(qiáng)合作，在需要時(shí)找到最合適的方案。企業(yè)應(yīng)以既定的風(fēng)險(xiǎn)承受能力作為底線，確保在可接受的風(fēng)險(xiǎn)范圍內(nèi)取得投資效益，兼顧風(fēng)險(xiǎn)和收益。”

首席信息安全官仍然需要有可靠的過(guò)程，以便將補(bǔ)丁發(fā)布到那些很少（如果有的話）連接到企業(yè)網(wǎng)絡(luò)的設(shè)備上。B2B支付公司AvidXchange還使用了Office 365，預(yù)計(jì)負(fù)載會(huì)增加，因此將VPN帶寬提高了一倍。所以，該公司首席信息安全官Christina Quaine通知用戶，要求他們通過(guò)VPN定期連接，以接收公司設(shè)備的補(bǔ)丁。她說(shuō)：“有很多人不一定需要登錄VPN，但如果他們不登錄網(wǎng)絡(luò)，他們的筆記本電腦就得不到最新的補(bǔ)丁?！?h3>文化變革需要首席信息安全官的領(lǐng)導(dǎo)

Watts認(rèn)為，首席信息安全官不應(yīng)該讓危機(jī)白白浪費(fèi)掉，此次疫情其實(shí)就是一個(gè)機(jī)會(huì)，讓董事會(huì)有更多的時(shí)間，去做一些以前可能做不到的事情。他說(shuō)：“疫情迫使很多企業(yè)采用以前不需要的技術(shù)和流程，也沒(méi)有計(jì)劃以如此快的速度和規(guī)模采用這些技術(shù)和流程。這反過(guò)來(lái)又是一個(gè)很好的機(jī)會(huì)，證明網(wǎng)絡(luò)安全不是攔路虎，而是能夠幫助企業(yè)實(shí)現(xiàn)目標(biāo)的功能?！?/p>

Watts補(bǔ)充說(shuō)：“優(yōu)秀的安全領(lǐng)導(dǎo)們將利用網(wǎng)絡(luò)威脅情報(bào)定期向董事會(huì)通報(bào)情況。在此次疫情之前，有些企業(yè)可能還沒(méi)有出現(xiàn)類似情況，但今后這應(yīng)該繼續(xù)下去?！?/p>

“顯然，這場(chǎng)疫情已經(jīng)證明，只要有正確的動(dòng)機(jī)和工作重點(diǎn)，就有可能做到這些。這并不是說(shuō)，所有新的舉措都應(yīng)該像最近一樣，以同樣的方式進(jìn)行，而是表明良好的溝通和基于風(fēng)險(xiǎn)的快速?zèng)Q策是可能的，這將為企業(yè)帶來(lái)新的機(jī)遇?！?/p>

WiseEnergy公司的Narezzi介紹說(shuō)，在危機(jī)開始時(shí)，其公司發(fā)現(xiàn)攻擊企圖增加了600%，主要是通過(guò)網(wǎng)絡(luò)釣魚和其他社會(huì)工程詐騙。然而，他已經(jīng)實(shí)現(xiàn)了居家辦公，因此避免了很多公司在隔離之初面臨的極度混亂的狀態(tài)?！拔覀兒苄疫\(yùn)。去年，我們開始計(jì)劃能夠在任何地方開展工作，因此當(dāng)危機(jī)來(lái)臨時(shí)，我們?cè)缫炎龊昧藴?zhǔn)備?！?/p>

盡管做了準(zhǔn)備，還是出現(xiàn)了病毒和隔離狀況才促使員工們采用新功能。雖然有了支持遠(yuǎn)程工作的技術(shù)，但員工們?nèi)栽趫?jiān)持疫情之前的舊工作方式。Narezzi說(shuō)：“最困難的是讓員工們居家工作。公司對(duì)此提供了支持，但員工們不相信他們能遠(yuǎn)程工作。然后新冠病毒來(lái)了，所以沒(méi)有其他選擇。但結(jié)果非常好?！?/p>

然而，一旦員工在家工作，他們可能會(huì)放松安全警惕。Tessian的一項(xiàng)新研究表明，只有不到一半的員工居家工作時(shí)采取過(guò)數(shù)據(jù)安全措施。如果企業(yè)想讓員工遵守流程和政策，那么首席信息安全官應(yīng)針對(duì)居家安全工作而灌輸一種強(qiáng)大的安全文化。

一些企業(yè)每天都在全公司范圍內(nèi)舉行“聚會(huì)”，首席信息安全官分享安全建議和技巧，讓員工了解關(guān)鍵的安全信息。即使在員工們返回辦公室后不再繼續(xù)這類會(huì)議，首席信息安全官也應(yīng)利用建立起來(lái)的溝通機(jī)制，定期提醒員工們?cè)鯓颖３职踩?/p>

Watts認(rèn)為，在網(wǎng)絡(luò)安全方面經(jīng)常進(jìn)行溝通，會(huì)促使員工以更好的主人翁精神來(lái)保持企業(yè)的安全。他說(shuō)：“這種對(duì)網(wǎng)絡(luò)安全的新關(guān)注也幫助員工意識(shí)到他們是解決方案的一部分。所謂的‘人類防火墻從來(lái)沒(méi)有比現(xiàn)在更為重要，我認(rèn)為與疫情之前相比，無(wú)論是在工作場(chǎng)所還是在家里，這都開始在團(tuán)隊(duì)中引起了更多的共鳴，這對(duì)行業(yè)來(lái)說(shuō)只能是件好事?！?h3>重新思考安全工作人員

這場(chǎng)疫情正促使企業(yè)重新思考哪些技術(shù)和流程對(duì)業(yè)務(wù)來(lái)說(shuō)是真正至關(guān)重要的。Narezzi預(yù)測(cè)，既然疫情危機(jī)已經(jīng)證明大多數(shù)工作都是可以遠(yuǎn)程完成的，那么更多的首席信息安全官將開始外包安全運(yùn)營(yíng)。他說(shuō)：“今天，你購(gòu)買了技術(shù)，后續(xù)還得購(gòu)買勞動(dòng)力來(lái)監(jiān)測(cè)和控制技術(shù)。那些準(zhǔn)備遠(yuǎn)程工作和基于云計(jì)算開展工作的企業(yè)將在不同國(guó)家以數(shù)字方式分配流程，以節(jié)省成本?，F(xiàn)在不需要按照英國(guó)的價(jià)格來(lái)購(gòu)買SOC。如果能在墨西哥或者其他成本更低的國(guó)家得到更好的價(jià)格，何妨一試呢？”

AvidXchange公司的Quaine說(shuō)，此次疫情不僅是識(shí)別和支持關(guān)鍵流程和重新調(diào)整資源的機(jī)會(huì)，而且也是能夠在任何地方完成工作的機(jī)會(huì)?！拔艺J(rèn)為疫情讓我們的部門拓寬了視野，認(rèn)識(shí)到一部分部門員工可以居家工作，而這是以前從未想到過(guò)的。這給了我們更多的機(jī)會(huì)，不再局限于在我們辦公室所在的地方廣招人才。與本地招聘不同，我們可以在全國(guó)范圍內(nèi)聘用最好的人才，把設(shè)備運(yùn)送給他們?！?/p>

然而，盡管疫情是特殊情況，但確實(shí)顯示了與遠(yuǎn)程工作員工定期溝通的好處，以確保他們不會(huì)過(guò)度勞累，不至于精疲力盡。Quaine說(shuō)：“由于支持遠(yuǎn)程工作，沒(méi)有了通勤時(shí)間，我們有更多的時(shí)間投入到工作中，而我更加關(guān)心我的部門了。每天下班的時(shí)候，我都會(huì)和他們聯(lián)系，看看我們做得怎么樣，別的部門怎么樣，不要讓大家覺得自己完全被鎖在電腦里了?！?/p>

Quaine還說(shuō)：“因?yàn)椴块T每天都要開電話會(huì)議，我覺得團(tuán)隊(duì)的凝聚力反而更強(qiáng)了。我們不光討論信息安全，還會(huì)八卦一下某位歌星的趣聞。大家相互間聯(lián)系得更多了，我認(rèn)為這對(duì)我們的部門很有好處?！?/p>

Dan Swinhoe是CSO在線的英國(guó)編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3546428/whats-next-cisos-weigh-in-on-covids-long-term-effects-on-security.html