誰不喜歡新技術(shù)?特別是當(dāng)它承諾讓任務(wù)變得更容易并提高生產(chǎn)力時?？释黾有录夹g(shù)，這是IT人員經(jīng)常鼓勵安全領(lǐng)導(dǎo)者做的事情，導(dǎo)致了數(shù)字化轉(zhuǎn)型，使用數(shù)字技術(shù)來解決問題。智能手機(jī)，平板電腦和云計算在工作場所的數(shù)字化改造中一直處于領(lǐng)先地位，但物聯(lián)網(wǎng)(IoT)的日益普及可能會徹底改變IT基礎(chǔ)設(shè)施的外觀。

[[261064]]

然而，對于安全人員來說，數(shù)字化轉(zhuǎn)型并不是一件有趣的游戲。雖然安全團(tuán)隊可能喜歡新技術(shù)，但它也可能增加網(wǎng)絡(luò)安全復(fù)雜性，特別是當(dāng)這些技術(shù)共享基礎(chǔ)設(shè)施時。

符合PCI標(biāo)準(zhǔn)的自動售貨機(jī)

今年2月，Check Point公司北美工程副總裁杰夫•施瓦茨(Jeff Schwartz)在cpx360發(fā)表主題演講時，講述了升級后的休息室自動售貨機(jī)的故事。由于攜帶紙幣或零錢的人越來越少，一家公司決定將其零食機(jī)升級為使用信用卡。對于那些想要下午3點修好芯片但只使用塑料支付的員工來說，這是個好消息。

但是，正如Schwartz指出的，現(xiàn)在自動售貨機(jī)接受信用卡，它必須遵循支付卡行業(yè)(PCI)遵從標(biāo)準(zhǔn)。如果忽視這一點，自動售貨機(jī)最終可能會讓公司付出罰款。自動售貨機(jī)還將與互聯(lián)網(wǎng)連接，以便處理交易?，F(xiàn)在它面臨著被黑客攻擊的風(fēng)險。如果自動售貨機(jī)被黑客攻擊，它將為威脅者打開進(jìn)入您的網(wǎng)絡(luò)的大門。

因此，最初看起來很方便的東西變成了讓人頭疼的安全問題。隨著物聯(lián)網(wǎng)的發(fā)展和數(shù)字轉(zhuǎn)型，預(yù)計這將成為一個新興的風(fēng)險載體。正如施瓦茨告訴他的聽眾的那樣，共享資源和IT基礎(chǔ)設(shè)施創(chuàng)造了更多丟失數(shù)據(jù)的機(jī)會。

增加對技術(shù)的依賴會影響風(fēng)險

簡單地說，新技術(shù)幾乎總是會對風(fēng)險產(chǎn)生影響。新的端點為威脅行為者提供了新的潛在機(jī)會。這并不是說我們不需要或不想要這種技術(shù);相反，為了更好地保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)，我們需要更好地理解這些新端點的情況。

有了物聯(lián)網(wǎng)，我們曾經(jīng)從未想過的設(shè)備、電器和機(jī)械現(xiàn)在都連接到互聯(lián)網(wǎng)上了——但你對這種連接了解多少?例如，新電梯現(xiàn)在是智能電梯，所以它們不僅向網(wǎng)絡(luò)添加了另一個端點，而且還在收集數(shù)據(jù)。

電梯等設(shè)備很可能由第三方控制，這意味著他們也可以訪問網(wǎng)絡(luò)和數(shù)據(jù)。如果該建筑由十幾家公司共享，則需要添加混合的數(shù)據(jù)和網(wǎng)絡(luò)。誰負(fù)責(zé)電梯的安全?誰負(fù)責(zé)收集的資料及其保護(hù)?你對電梯公司的安全措施了解多少?你想過要擔(dān)心電梯嗎?

注意客戶數(shù)據(jù)

數(shù)字轉(zhuǎn)型的實現(xiàn)不僅要考慮到業(yè)務(wù)效率，還要考慮到客戶的便利。事實上，你的客戶希望與你的公司有更輕松的互動，這通常通過人工智能(AI)、機(jī)器學(xué)習(xí)(ML)和物聯(lián)網(wǎng)等技術(shù)實現(xiàn)。例如，面向客戶的人工智能，如聊天機(jī)器人，可以改善客戶溝通。

麻省理工學(xué)院斯隆管理學(xué)院(MIT Sloan Initiative)數(shù)字經(jīng)濟(jì)首席研究科學(xué)家喬治•韋斯特曼(George Westerman)告訴CIO:“客戶的期望遠(yuǎn)遠(yuǎn)超出了你的實際能力。”“這意味著我們要從根本上重新思考我們?nèi)绾卫媒M織中的技術(shù)。”

因此，客戶對貴公司用于促進(jìn)更好的消費者關(guān)系的技術(shù)有很高的期望。然而，由于備受矚目的數(shù)據(jù)泄露事件，以及人們對數(shù)據(jù)隱私法規(guī)的意識日益增強(qiáng)，客戶也希望確保自己的數(shù)據(jù)是安全的。事實上，施瓦茨在他的演講中指出，如果消費者開始根據(jù)公司收集、使用和存儲客戶數(shù)據(jù)的方式做出購買決定，你不應(yīng)該感到驚訝。

您是否控制您的IT基礎(chǔ)設(shè)施?

這將我們帶回共享IT基礎(chǔ)設(shè)施。問題不在于知道網(wǎng)絡(luò)上有哪些端點并收集數(shù)據(jù)，而在于這些端點如何隨著技術(shù)的變化而變化。用應(yīng)用程序操作咖啡壺對員工來說非常方便，但這對數(shù)據(jù)收集有什么影響呢?聊天機(jī)器人也是一樣:它當(dāng)然是建立客戶關(guān)系的一種方便且成本低廉的方式，但您的安全團(tuán)隊更了解對話是如何收集的，以及公司如何使用這些數(shù)據(jù)，否則它可能成為隱私方面的噩夢。

我們?nèi)栽诹私庖恍┗A(chǔ)設(shè)施上發(fā)生了多少信息共享。例如,智能電視對于一個組織視圖敏感企業(yè)或消費者(例如,一個病人在醫(yī)院的房間)的信息可能是一個很好的方法。但與此同時,員工(或病人)可以使用相同的電視在午休時間調(diào)到Netflix或Hulu賬戶。突然間，公司數(shù)據(jù)和個人數(shù)據(jù)混在了一起。如果事實證明Netflix是數(shù)據(jù)泄露的受害者，那么敏感的公司數(shù)據(jù)現(xiàn)在就面臨著風(fēng)險。

物聯(lián)網(wǎng)和其他新興技術(shù)在工作場所越普遍，首席信息安全官(CISO)，IT領(lǐng)導(dǎo)者和其他決策者就越需要考慮使用該IT基礎(chǔ)架構(gòu)的每臺設(shè)備的整體影響。這不是連接到您的網(wǎng)絡(luò)的問題，而是連接方式以及您是否能夠控制該連接的安全性。