安全与创新:IT最棘手的平衡问题

来源 :计算机世界 | 被引量 : 0次 | 上传用户:playallprogram
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  乍看起来,部署网络安全措施和追求创新似乎是相互排斥的。加强安全的战略旨在降低风险,而创新工作则要求敢于承担风险。
  企业正在想方设法推出创新的数字业务新项目,同时采取措施保护数据和其他IT资产。因此,他们建立了改善客户体验、获得新收入和新市场机会的途径,同时还加强了安全要求、保护系统和数据并遵守法规。

  毕竟,这才是当今业务环境中成功的秘诀:推动变革性举措,以确保宝贵的系统和数据安全的方式,采用云、移动技术、人工智能、数据分析和物联网(IoT)等创新技术。
  对此,当今的企业应找到一种平衡的方法,既要走在竞争的前列,试验新技术,将概念证明应用到生产中等等,又能更好地规避风险,保证这些举措是安全的。
  在某些情况下,这可能涉及增加所有系统安全相关的预算和资源;在其他一些情况下,这意味着留出预算和资源,以保证能开展纯粹的创新工作。不管怎样,我们的目标都是创新,但要以一种安全、明智的方式来进行。
  本文介绍一些企业怎样既能创新又能很好地保证安全的例子——无论是针对具体项目还是作为一般实践。

在保证数据安全的同时部署新的在线服务


  高等教育机构应关注是否遵守《家庭教育权利和隐私法案》(FERPA),该法案旨在保护学生数据的隐私。
  印第安纳州宾夕法尼亚大学(IUP)首席信息官Bill Balint介绍说:“合规一直是我们最重视的问题,而传统的校内学生信息系统和数据通常被锁定在这些系统和文件中,认为外部访问基本上没什么问题。
  但是,现在能够通过网络访问受保护的系统,今后有可能出现的大规模安全泄露事件和数据暴露问题使得FERPA合规成为当务之急。”
  Balint说,随着高等教育转变成更像是企业那样运作,这个问题日益严重了。他说:“各院校为了实现招生和学生成功目标,越来越多地转向客户关系管理和数据分析解决方案等领域中基于云的快速实施服务。”
  IUP正在通過基于云的订阅服务来使用这类技术,这使得该大学能够提供创新服务,例如,帮助创建经过优化的个性化助学金包和定制的学术分析功能,这些有助于吸引并留住成功的学生。
  Balint说:“但要想实现这些,供应商通常还要求将有关学生的大量敏感学术和/或财务数据导入到供应商控制的云应用程序中。这类活动使得大学无法实施一些安全控制措施。取而代之的是,大学不得不承认供应商的‘合同承诺’,即敏感数据在传输和静止状态时都能得到保护。”
  为了确保敏感数据不会被泄露,IUP采取的第一步是考虑到基于云服务的安全和隐私的实际意义,只共享对工具功能最为重要的数据。
  Balint说:“例如,与专注于学术成功的供应商分享成绩信息是很重要的。但社保号码对他们而言毫无价值,不应该共享。”
  除此之外,IUP还要求其合作的所有云供应商通过正式的合同和服务等级协议(SLA)来满足数据隐私和安全的行业标准。
  Balint说:“很少有高等教育机构自己有专家能够履行这些供应商的职能,而供应商所提供的服务对很多机构的发展越来越重要。业界应继续发展保护敏感和机密数据的最佳实践。”

提高新移动应用程序的安全性


  2019年底,科罗拉多州宣布在其myColorado移动应用程序中推出科罗拉多数字ID,实现了居民与州政府互动方式的变革。myColorado的愿景是为州居民提供创新、安全和方便的移动解决方案,通过该解决方案,他们能够与数字身份和政府服务建立连接。
  科罗拉多州首席信息安全官Deborah Blyth说:“我们的目标是通过中央移动平台把居民与服务连接起来,让居民们更方便地办理州政府相关的业务,例如,更新驾照等。这样,居民们就不必去州政府办公室了,从而减少了时间和交通成本,最终有助于提高居民满意度。”
  自10月份公开发布以来,已经有3万多居民下载了myColorado应用程序。
  Blyth说,州政府意识到,如果想要让居民们广泛地采用某种产品或者服务,那么获得并维持公众信任是最为重要的,而实现这一点的最佳举措是一定要保证应用程序开发的安全性。
  myColorado中的个人信息受到多重身份验证和数据加密的保护,以确保整个应用程序的隐私和安全。Blyth介绍说,此外,myColorado在多个层面上使用了用户身份验证、认证和联合措施来确保用户的身份安全。
  Blyth说:“当myColorado还只是一种想法的时候,安全架构师就在应用程序设计团队中发挥了不可或缺的作用。从项目开始,就需要验证移动用户的身份,以便将用户与州系统中包含的适当信息相匹配。”
  其他考虑因素包括确保通过适当的身份验证持续访问用户信息以防止未经授权的访问,以及评估并选择支付提供商来安全地处理付款。
  开发团队进行了测试,以确保移动应用程序和后端服务器不存在可能被利用的漏洞,避免敏感数据被暴露。Blyth说,在开发过程中还采取了其他预防措施,以防止开发人员访问敏感数据。
  Blyth说,myColorado成功部署安全功能的一个关键因素是,在设计和开发应用程序时,所有的安全需求都得到了一致同意,并通过迭代过程整合到应用程序中。
  她说:“让安全架构师作为创新团队中积极而且平等的参与者,这保证了从一开始就能建立起重要的安全标准,而不是在开发周期结束时简单地将其视为一个附加项。”

采用试验性方法开展IT创新

  為客户提供员工认可和奖励服务的O.C. Tanner公司正在启动利用人工智能、3D打印和DevOps等新技术和方法的项目。在此过程中,该公司遵循了一些实践,以保证数据和系统的安全,并确保隐私得到保护,同时又不会扼杀创新。
  其中最重要的一点是,要把新的IT计划视为谨慎的科学试验。O.C. Tanner进行的技术试验规模很小,使用的是公司现有的流程和工具,并将这些工作与企业外部的实体隔离开来。
  该公司高级副总裁兼首席信息官Niel Nickolaisen介绍说:“如果我们的一个试验有或者产生了一个漏洞,那么,我们现有的流程应该会发现这个漏洞。但如果没有发现,漏洞也不会让我们的环境整体上处于危险之中。”
  有时,漏洞可能会导致公司取消试验,或者找到补救和绕过问题的方法。Nickolaisen说:“在一个案例中,我们试验了一种新技术,发现了一些问题,然后与初创公司提供商合作解决了这些问题。”
  随着试验通过了某些验证点(这些验证点因技术和试验类型而异),Nickolaisen介绍说,“我们逐步提高了试验的生产价值标准,因此要求变得更加严格。在任何东西发布到我们的生产环境中之前,它必须符合我们的标准——这些标准包括安全和隐私。”
  在一个例子中,O.C.Tanner认为自己有足够丰富的数据,能够为客户提供员工离职原因的深度分析。
  为了证明这一点,需要使用客户端员工数据(必须保证数据的安全),以便构建基于云的人工智能/机器学习算法。
  Nickolaisen说:“从小处着手,我们匿名化了客户数据的一个子集,并在云服务中做了初步的概念验证。结果令人鼓舞,我们认为应该继续前进。但是,在某些时候,我们需要使用实际的、而不是匿名的数据。”
  O.C.Tanner扩大了试验规模,还评估了可用云人工智能和机器学习服务的安全和隐私过程。Nickolaisen说:“同时,我们与客户合作,让他们参与我们对云提供商安全/隐私举措的评估。我们希望他们能够像我们一样,对我们的选择感到满意。”
  另一个例子涉及公司正在使用的DevOps过程和工具。为了确保DevOps过程满足其安全标准,而且仍然能够快速部署,O.C.Tanner想实现一定程度的自动化,以便新服务和功能的创建者可以只是自行部署预先批准的更改。
  Nickolaisen说:“这需要我们目前还没有的功能和工具。”O.C. Tanner找到了这样一款工具,但它来自一家刚创立的初创公司,因此会有一些风险。他说:“我们用他们的工具做了一项试验来评估他们的功能。那次试验成功后,我们开始应用我们的生产价值标准,并发现了他们产品中的一些安全和认证差距。”
  O.C. Tanner随后与该公司合作,在投入生产前解决了这些问题。

优先考虑客户体验和数据保护


  公共机构雇员全球保险公司(WAEPA)是一家提供团体定期人寿保险的公司,其目标是通过超出文职联邦雇员和退休人员的期望,在为他们提供服务方面超越竞争对手。
  首席信息官Brandon Jones说:“随着服务和数字化工具的发展,WAEPA意识到需要变革和优化用户体验中的每一个平台和接触点。”
  Jones说,拥有强大的数字化展示功能是实现这一愿景的基础。为了增强其在线展示能力,该公司首先进行了一项可用性研究,分析客户数字化体验的当前状态,开展可用性测试和用户访谈,并综合数据以确定所收集信息的趋势、模式和共性。
  研究和分析揭示了有机会进一步提高可用性,WAEPA因此产生了很多发现和建议。
  接下来,WAEPA启动了一项“客户旅程地图工作”,以确定客户和潜在客户在交易过程中所经历的各个阶段,他们在每个步骤中有什么期望,他们在每个步骤中有哪些问题,以及他们在每个步骤中的感受。
  Jones说:“这项工作使我们能够确定会员参与我们产品和服务的步骤,以及与他们旅程其他部分的联系、改进的机会,以及应该在哪些地方进行步骤合并或者拆分。通过有条不紊地绘制我们成员的步骤,我们可以将此项工作用作诊断工具。”
  WAEPA利用可用性研究和客户旅程地图的发现,开始建立一个新的网站和会员门户网站。新网站的目标是更好地向用户介绍产品和应用过程;提高整个网站的一致性和易用性;提供自助工具和信息,以便用户作出明智的决定;还有“人性化”的体验,以帮助、引导和安抚在线用户。
  在整个过程中,首先考虑的是保护好客户数据,安全也融入到新网站和支持基础设施中。安全策略包括使用冗余防火墙、虚拟专用网(VPN)、防止垃圾邮件和网络钓鱼、身份和访问管理等工具。
  通过采取这些以及其他步骤,WAEPA能够为其客户创造更好的客户体验,同时还进一步提高了安全保障等级。
  Bob Violino目前在纽约,是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特约撰稿人。
  原文网址
  https://www.cio.com/article/3521009/security-vs-innovation-its-trickiest-balancing-act.html?nsdr=true
其他文献
业界通常会模糊地认定,满足-40℃到85℃工业温度的组件就能满足工业产品设计的所有要求。  发生在2016年的几个安全事件始终值得我们深思。  10月份的一场大规模互聯网瘫痪席卷了全美,包括推特、亚马逊、Paypal等在内的多家知名网站无法登陆。美安全研究人员表示,造成此次网络宕机事件可能是因大量的物联网设备——包括联网的摄像头和数字录像机被黑客攻陷。  无独有偶,美国运动相机制造商GoPro的K
3月2日,國家广播电视总局召开电视电话会议,贯彻落实中宣部等九部委联合印发的《全国有线电视网络整合发展实施方案》,启动全国有线电视网络整合和广电5G建设一体化发展工作。  根据方案,“全国一网”整合将由中国广播电视网络有限公司主导,联合各省级网络公司、战略投资者共同组建,形成按现代企业制度管理的“全国一网”股份公司。“全国一网”股份公司成立后,实行母子公司制架构,将建成统一的运营管理体系。以有线电
“我们真真切切地感受到来自于互联网的压力。交通属于服务行业,服务行业是互联网最擅长的。互联网往往会用服务作为入口攻击我们,我们很害怕有一天一觉醒来就被互联网公司干掉了。”周宏言语中,难掩焦虑。  周宏所在的江苏交通控股有限公司(以下简称“江苏交控”)负责江苏省高速公路、铁路、机场、港口、码头重点交通基础设施建设的投融资和江苏省高速公路的运营和管理。通过产业整合和兼并重组,江苏交控构建了大交通的投融
7月13日,在杭州召開的第二届柔性电子国际学术大会(ICFE2019)上,浙江省柔性电子与智能技术全球研究中心研发团队发布了两款经减薄后厚度小于25微米的柔性芯片——运放芯片和蓝牙SoC芯片,其中运放芯片能够对模拟信号进行放大处理,而蓝牙SoC芯片则集成了处理器和蓝牙无线通信功能。  柔性芯片将对人工智能、物联网、可穿戴设备、数字医疗……等诸多领域产生深远影响。目前,基于柔性芯片而设计、只有创可贴
雖然企业组织可以采取诸多措施来确保员工安全地远程办公,但形形色色的威胁分子已经在趁疫情危机大肆作乱。攻击者在加大力度,通过以新冠疫情为主题的电子邮件、应用程序、网站和社交媒体来传播恶意软件。本文细述了威胁分子用来攻击企业组织的潜在威胁途径和手法。1.网络钓鱼电子邮件  电子邮件是个人和组织面临的头号威胁途径,将来也会如此。网络犯罪分子长期以来利用全球事件实施网络钓鱼活动以提高命中率,新冠疫情也不例
对于网络安全而言,2018年会怎样,有可能比2017更糟糕吗?  2018年,网络安全领域几乎确定的事实是:市场会保持活跃,而攻击将变得更加复杂。  Gartner预测,2018年全球安全支出将达到960亿美元,比今年增长8%——这对于复杂的网络安全行业来说是个好消息。  这很容易理解。  如果说有哪一年能称得上是网络安全问题真正为人们所关注的一年,那么2017年应该首当其冲。  这一年一开始便延
首席信息安全官最难落实的一项任务是怎样对网络安全功能的成功与价值进行量化。  事实上,安全主管及其部门多年来使用了无数的指标。然而,很多高管和董事会成员抱怨说,这些指标无法让他们充分深入分析或者理解安全部门的表现、改进情况,以及在哪些方面还存在不足。  安全公司SpearTip的总裁兼首席执行官Jarrett Kolthoff解释说:“首席执行官和董事会听到的技术术语太多了。首席信息安全官一直在向
云计算发展大趋势,从SaaS到IaaS直至PaaS  据分析公司Forrester,尽管公有云所固有的灵活性使其成为最具革命性的一代技术,但其在企业界的应用还没有超过50%,该公司还预测全球公有云服务市场到2020年规模将达到2360亿美元。  在2018年的云预测报告中,分析师写道:“虽然云的影响是全球性的,但只有不到一半的企业使用了公有云平台。2018年,我们将跨过50%应用这一重大的里程碑,
2020年度中国杰出数字化团队奖北京稻香村食品有限公司信息部团队  获奖理由:北京稻香村信息团队非常注重IT治理,目前已经帮助企业形成了完善的组织内管理制度与业务流程。稻香村的信息化团队在构建信息化业务流程的过程中,总是紧紧围绕着前端的操作用户,不断地通过信息技术来创新企业的商业运营模式,持续改善着企业的管理运营。团队以创新作为变革的主旋律,积极学习和吸纳各种新技术、新应用,引用智慧零售门店系统,
机密计算能够增强企业安全性,但是它们应该如何定义?用户需要做哪些工作?  无论是使用内部数据中心的企业还是迁移到云端的企业,安全性始终是最受关注的三大问题之一。应用程序解决方案提供商、机器供应商和云服务提供商都应该竭力提高安全性。  过去,安全措施主要都集中在保护静态数据或对数据进行加密传输上。实际上,在数据库中、在LAN/WAN上和通过5G网络传输时都会对数据进行加密,这也是所有此类系统的关键组