在談?wù)撛朴嬎恪YOD趨勢或者IT消費化等話題時，大家都認同的觀點是，IT部門必須適應(yīng)或者接受這些變化。也許最需要改變的是信息安全企業(yè)，因為他們面臨的風(fēng)險在不斷增加，這不僅僅是因為這些趨勢，而且因為整體威脅環(huán)境的變化。信息安全人員對威脅采取的態(tài)度和方法必須調(diào)整，才能有效地保護企業(yè)的信息資產(chǎn)。

[[65869]]

消失的網(wǎng)絡(luò)“外圍”

很久以前，在網(wǎng)絡(luò)外圍保持強大的防御能力(防火墻、IDS等)是信息安全部門最重要的工作之一。只要外部威脅無法破壞這些防線，他們的工作就很成功。IT部門認為他們的外圍安全已經(jīng)足夠，而內(nèi)部安全控制就更加放松?，F(xiàn)在，堅不可摧的外圍的概念已經(jīng)過時了，移動工作人員、BYOD和其他變化打破了這一切，這些趨勢給傳統(tǒng)網(wǎng)絡(luò)防御帶來重大挑戰(zhàn)。

無可否認的是，網(wǎng)絡(luò)外圍是重要的，但隨著員工攜帶筆記本或者智能手機(無論是公司配備的或是個人設(shè)備)進出企業(yè)的內(nèi)部網(wǎng)絡(luò)，或者通過VPN連接甚至開放的互聯(lián)網(wǎng)來與內(nèi)部通信，企業(yè)必須把注意力放在額外的內(nèi)部控制上，并假設(shè)攻擊者將感染這些設(shè)備或者它們使用的應(yīng)用程序來侵入內(nèi)部網(wǎng)絡(luò)。然而，盡管面對這些轉(zhuǎn)變，一些IT部門仍然捍衛(wèi)著這種“無懈可擊的”網(wǎng)絡(luò)外圍的概念。

由內(nèi)而外進行改變

安全部門應(yīng)該做出的最重要的調(diào)整是，改變信息安全對企業(yè)的價值的看法。有時候信息安全部門和其他其他部門存在嚴重的脫節(jié)，造成這種局面的原因有很多：例如，安全部門在過去可能已經(jīng)充當(dāng)過流量“警察”的角色，懲治那些違反規(guī)則的員工，這反過來又將安全部門的塑造成只會說“不”的形象，企業(yè)應(yīng)該避免這種情況的發(fā)生，否則這將會讓安全部門的工作遇到各種障礙，甚至導(dǎo)致員工無視安全政策或者建議。

改變員工對安全部門的看法可能很困難，但這樣做的結(jié)果是值得的。安全部門可以開始越來越多地參與不同業(yè)務(wù)部門和IT部門的日?；顒?，從而發(fā)現(xiàn)影響他們工作的安全控制和政策。這種方法還能夠讓你更深入地了解每個部門是如何運作的，以及他們所依賴的信息資產(chǎn)，這反過來又可以讓你為他們提供有關(guān)如何安全有效地運作以及保護期關(guān)鍵資產(chǎn)的實用建議。

分析家和專家們都告訴我們，我們正在進入一個“后PC”時代，但無論你如何定義它，計算已經(jīng)變得比以往任何時候都更個性化。為了成功地管理和緩解不同部門的風(fēng)險，安全部門必須深入各個部門的運作，并成為企業(yè)的寶貴資產(chǎn)。