在信息安全領(lǐng)域,2014年算是一個多事之秋,永無休止的網(wǎng)絡(luò)威脅和數(shù)據(jù)泄露著影響零售商、銀行、游戲網(wǎng)絡(luò)以及政府等,對全方位多個行業(yè)有著重大的影響。
“雖然2014年已經(jīng)接近尾聲,但我們可以預(yù)計,網(wǎng)絡(luò)威脅的嚴(yán)重性和復(fù)雜性將繼續(xù)增加。”信息安全論壇(安全部隊)董事兼總經(jīng)理史蒂夫·杜賓說 ,作為一個非營利性的協(xié)會,該組織一直在評估安全管理問題。
展望2015年,德賓說,未來一年網(wǎng)絡(luò)將由五個主要趨勢主導(dǎo)。
1. 網(wǎng)絡(luò)犯罪
網(wǎng)絡(luò)犯罪
互聯(lián)網(wǎng)是一個越來越有吸引力的罪犯場,激進分子和恐怖分子有動力去賺錢、獲得關(guān)注,甚至造成破壞。
今天的大多數(shù)網(wǎng)絡(luò)犯罪主要是由前蘇聯(lián)國家運作。 他們掌握著高新技術(shù)和非?,F(xiàn)代化的裝備。
“2014年,我們看到網(wǎng)絡(luò)罪犯正在展示其更高程度的相互協(xié)作,他們都具備一定程度的技術(shù)能力,這讓許多大型組織措手不及。“杜賓說。
“在2015年,組織必須準(zhǔn)備不可預(yù)知的、高影響力的事件,”他補充道。 “網(wǎng)絡(luò)犯罪,隨著網(wǎng)絡(luò)的增加會導(dǎo)致監(jiān)管成本的上升,加之技術(shù)在無情進步的事實導(dǎo)致這種影響越來越傾向于不可預(yù)見。”
2. 隱私和監(jiān)管
大多數(shù)政府已經(jīng)創(chuàng)建或正在創(chuàng)建監(jiān)管機制,包括規(guī)定實施條件的維護和使用個人身份信息(PII),以及相關(guān)的處罰措施。 因此,德賓指出,為了減少監(jiān)管制裁和如名譽損害等造成的業(yè)務(wù)成本,組織需要將隱私視為一個合規(guī)和業(yè)務(wù)風(fēng)險問題。
全球監(jiān)管可能在2015年成為組織越來越重的負(fù)擔(dān)。
“我們看到歐盟越來越多的監(jiān)管計劃,收集、存儲和使用信息以及數(shù)據(jù)丟失嚴(yán)重的處罰,,”杜賓說。 “預(yù)計這將繼續(xù)和發(fā)展,進一步實施監(jiān)管管理的開銷遠(yuǎn)遠(yuǎn)超過其本身。”
他補充說,組織應(yīng)該指定相應(yīng)的計劃,并在法律層面尋找突破。
3.第三方供應(yīng)商的威脅
供應(yīng)鏈?zhǔn)敲總€組織的一個重要的組成部分,在經(jīng)濟全球化時代,它是全球業(yè)務(wù)操作和當(dāng)今的全球經(jīng)濟的支柱。 然而,德賓表示,安全主管都越來越關(guān)心供應(yīng)鏈的風(fēng)險因素。 一系列有價值的和敏感的信息通常不得不與供應(yīng)商共享,甚至被供應(yīng)商直接控制。這導(dǎo)致保密性的風(fēng)險增加。
“明年,是否能提供保證數(shù)據(jù)的機密性將使得第三方供應(yīng)商將繼續(xù)承壓,”杜賓說。 “各種規(guī)模的組織需要考慮供應(yīng)商發(fā)生意外的后果,包括知識產(chǎn)權(quán)、客戶或員工信息,甚至是商業(yè)計劃或談判的泄露等等。 這種想法不應(yīng)該局限于生產(chǎn)或銷售合作伙伴。”
4. BYOx趨勢
BYOD(bring your own device)已經(jīng)不是一個新詞匯了,BYOx趨勢已經(jīng)不可避免地正在發(fā)生,無論組織是否喜歡,德賓說,一些組織已經(jīng)開發(fā)出更好的政策指導(dǎo)方針來應(yīng)對。
BYOD(自帶設(shè)備)、BYOA(自帶應(yīng)用)引領(lǐng)了一代“自帶……”熱潮,然而自帶也很會隨波逐流,在當(dāng)下在云計算一浪高過一浪的大潮中,又出了BYOC這一名詞。但是其中尚且存在著安全性的問題,阻礙著人們的使用,人們不得不面對其中潛在的安全威脅。
這些威脅有的來自內(nèi)部,有的來自外部,可能是設(shè)備本身的管理不善造成的,也可能是軟件漏洞和部署的測試,已經(jīng)不可靠的應(yīng)用程序造成的。
如果你確定風(fēng)險是可以接受的,確保你建立一個結(jié)構(gòu)良好的BYOx程序。
5. 安全意識
在所有的安全環(huán)節(jié)中,人或許是其中最脆弱的一環(huán),因為人充滿了不確定性,所以樹立安全意識也是網(wǎng)絡(luò)安全面臨的挑戰(zhàn)之一。
在過去的幾十年里,組織已經(jīng)花費了數(shù)百萬美元來培養(yǎng)員工的安全意識,但是這還遠(yuǎn)遠(yuǎn)不夠。樹立安全意識應(yīng)該成為業(yè)務(wù)安全流程的一部分,將其轉(zhuǎn)化為防御風(fēng)險的一道防線。而不是簡單的讓人們意識到自己的信息安全責(zé)任,他們應(yīng)該學(xué)會如何應(yīng)對并且降低風(fēng)險。