在企業(yè)環(huán)境中管理內(nèi)部風(fēng)險本身是困難的,而向遠程員工隊伍和“無邊界”工作場所的轉(zhuǎn)變加劇了這些固有的挑戰(zhàn)。企業(yè)的內(nèi)部人員風(fēng)險管理計劃有四個主要目標:意識、理解、可見性和保護。無邊界工作場所需要對傳統(tǒng)風(fēng)險管理方法進行調(diào)整和改變。
1.意識
風(fēng)險意識意味著要清楚地了解內(nèi)部人員,為內(nèi)部人員提供適當保護資產(chǎn)的資源,創(chuàng)建一種透明和負責(zé)任的文化,并制定有助于識別和緩解異常行為的工作流程。
在傳統(tǒng)的工作場所中,培訓(xùn)的重點是在辦公室環(huán)境中操作的最佳實踐,如何發(fā)現(xiàn)員工的異常行為以及如何防范常見的電子郵件攻擊。強調(diào)良好的工作場所管理(不要將文檔留在打印機上、不要鎖屏、不要將內(nèi)容發(fā)送到不安全區(qū)域等)以及如何向管理人員報告信息。內(nèi)部人員的定義是實際在企業(yè)辦公室辦公的人員,而工作流程則專注于識別工作場所中的異常行為。
相比之下,在無邊界工作場所中,培訓(xùn)必須集中在遠程工作場所和所涉及的獨特環(huán)境上。為此,必須強調(diào)適當?shù)陌踩?xí)慣以訪問企業(yè)信息(假熱點、欺騙、在公共場所上網(wǎng)等),以及在辦公室之外正確處理信息(打印、存儲、傳輸)。在這種環(huán)境下,使用文件共享站點、USB、電子郵件安全性和設(shè)備管理(個人和公司)尤為重要。工作流程還必須適應(yīng)并報告可疑活動。在這里,必須從虛擬訪問的角度了解內(nèi)部人員,因為許多遠程辦公的員工可能不會在企業(yè)辦公室中工作。最后,工作流程必須包含識別工作場所外部異常行為的方法和手段。
2.理解
理解包括通過識別和定義關(guān)鍵資產(chǎn),確定這些資產(chǎn)的粒度,根據(jù)影響對它們進行優(yōu)先排序,以及開發(fā)可促進資產(chǎn)工作流程的知識,并將這些知識納入風(fēng)險管理框架的流程,以關(guān)注對企業(yè)重要的事情。
在傳統(tǒng)的工作場所中,重點是作為“資產(chǎn)持有者”的公司(在企業(yè)設(shè)備、網(wǎng)絡(luò)、實際位置上)。工作流程將映射到辦公室內(nèi)部協(xié)作,因此,可以在傳統(tǒng)公司環(huán)境的范圍內(nèi)理解風(fēng)險。一旦確定了關(guān)鍵資產(chǎn),就需要了解誰有權(quán)訪問這些資產(chǎn)以及如何處理、存儲和移動它們。對于傳統(tǒng)的工作場所,這通常是一個令人大開眼界的工作,獲得關(guān)鍵資源的途徑通常遠遠超出了人們的想象。
相比之下,在沒有邊界的工作場所中,內(nèi)部人員通常是“資產(chǎn)持有者”(存儲在個人設(shè)備、U盤、文件共享站點、家庭辦公場合),并且關(guān)鍵資產(chǎn)的擴散更加明顯。在遠程工作的員工擁有各種各樣的機制來處理和存儲資產(chǎn)。風(fēng)險模型現(xiàn)在必須包括與在企業(yè)環(huán)境之外進行操作相關(guān)的威脅和漏洞。因此,可能的“資產(chǎn)持有者”的分類擴大到了家庭辦公場合中可用的任何資產(chǎn)。這可能包括個人計算機、平板電腦、電話以及移動媒體。物聯(lián)網(wǎng)設(shè)備的不斷增長使這一過程變得更加復(fù)雜。此外,在考慮傳輸中的關(guān)鍵數(shù)據(jù)時,遠程工作者更有可能在傳輸組織數(shù)據(jù)時使用其他方式和設(shè)備。因此,必須將部門間工作流分類為識別傳統(tǒng)企業(yè)環(huán)境之外的威脅和漏洞的基本組成部分。
3.可見性
可見性包括監(jiān)視表明對企業(yè)資產(chǎn)(網(wǎng)絡(luò)和網(wǎng)外)構(gòu)成威脅的內(nèi)部人員行為,監(jiān)視內(nèi)部人員與已識別資產(chǎn)的交互、記錄資產(chǎn)訪問和移動以及分析行為、交互作用和日志以識別風(fēng)險。
在傳統(tǒng)的工作場所中,可見性僅限于企業(yè)擁有的設(shè)備和網(wǎng)絡(luò)以及企業(yè)的行為。相比之下,無邊界工作場所必須包括對個人設(shè)備的可見性、企業(yè)機構(gòu)(開放源數(shù)據(jù)源)之外的行為,并了解如何將數(shù)據(jù)資產(chǎn)移動、傳輸和存儲在企業(yè)網(wǎng)絡(luò)之外。
為了應(yīng)對員工存儲、傳輸和處理數(shù)據(jù)的方式失去可見性的問題,企業(yè)需要能夠跟蹤企業(yè)網(wǎng)絡(luò)和域之外的數(shù)據(jù)和資產(chǎn)流的治理和工作流程。這些政策和程序可能會限制遠程工作人員使用特定設(shè)備或企業(yè)移動管理工具,這些設(shè)備或工具會強制實施可全面監(jiān)控的標準化流程。這些工具允許組織將所有移動設(shè)備集成到一個包括安全、身份、應(yīng)用程序和內(nèi)容管理的管理框架中。
為了防止員工行為失去可見性,需要使用其他方法來早期識別員工警告標志。這種機制將使企業(yè)能夠以適當程度的參與、協(xié)助、支持和紀律作出反應(yīng)。開源數(shù)據(jù)可以提供對個人行為壓力源和行為的洞察,并可以幫助企業(yè)管理人員不斷檢查員工對企業(yè)的潛在威脅。對開源數(shù)據(jù)的持續(xù)評估有助于評估在客戶或在家中工作的員工,他們的行為變化對員工和管理者不太明顯。如果使用得當,這些數(shù)據(jù)可以幫助識別技術(shù)監(jiān)測無法觀察到的行為,并對可能的風(fēng)險提供預(yù)警。
開源信息包括財務(wù)數(shù)據(jù)(破產(chǎn)、信用報告、留置權(quán)等)。這些可能表明無法解釋的富裕和財務(wù)困難。執(zhí)法數(shù)據(jù)(逮捕、定罪、保護令等)可能表明不可預(yù)測性、波動性以及無法遵守法律。社交媒體發(fā)布的內(nèi)容可能反映出對企業(yè)管理人員、員工、公眾人物、家庭成員和前合伙人的不同尋常的負面(甚至暴力)情緒。
4.保護
必須對數(shù)字和實物資產(chǎn)(包括信息和人員)實施安全控制,以確保無論在何處訪問、使用、傳輸、存儲或定位資產(chǎn),都能對其進行保護。
在傳統(tǒng)的工作場所中,重點是設(shè)備和人員的端點??丶荚卺槍κ录?事后)發(fā)出警報,并且僅限于企業(yè)范圍(網(wǎng)絡(luò)和物理)。相比之下,在無邊界的工作場所,數(shù)據(jù)是新的端點。重點必須放在作為新邊界的數(shù)字資產(chǎn)本身上??丶仨氃O(shè)計為管理訪問(事件前)并調(diào)用對象級別的端到端加密。
無邊界工作場所需要持久的、以數(shù)據(jù)為中心的加密,這要超出端點和傳統(tǒng)的身份驗證方法。為了在無邊界的工作場所中適當?shù)毓芾韮?nèi)部風(fēng)險,安全團隊需要通過額外的安全層來增強保護機制,這些安全層以更細化、持久和動態(tài)的方式專注于數(shù)據(jù)。這意味著無論源應(yīng)用程序、格式或設(shè)備操作系統(tǒng)如何,都能夠加密任何數(shù)字資產(chǎn)。新的無邊界工作場所有三個主要“保護”要求:
•持久。加密需要持久執(zhí)行。如果敏感文件通過電子郵件發(fā)送,保存到閃存驅(qū)動器,存儲在基于云計算的應(yīng)用程序中或在其他任何地方傳輸,則安全策略將保持有效,并且數(shù)據(jù)將受到保護。
•自上而下的策略執(zhí)行。IT管理人員需要以自上而下的方式執(zhí)行策略,因此策略可以在整個企業(yè)范圍內(nèi)一致地應(yīng)用,甚至適用于特定的數(shù)字資產(chǎn)、設(shè)備和用戶級別。
•為了最大程度地提高數(shù)據(jù)分離效率,企業(yè)需要采用加密的方式,以盡可能低的級別提供保護和洞察力,從而確保最佳的安全性、數(shù)據(jù)治理合規(guī)性、生產(chǎn)率。
新的無邊界工作場所需要新的內(nèi)部風(fēng)險管理范式。通過調(diào)整和重新定義風(fēng)險意識、理解力、可見性和以數(shù)據(jù)為中心的持久資產(chǎn)保護模型,企業(yè)可以開發(fā)有效的程序來管理傳統(tǒng)公司環(huán)境的內(nèi)部人員的風(fēng)險。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號