CTI論壇(ctiforum.com)(編譯/老秦): 提供三種見解,以解決日益嚴(yán)峻的安全挑戰(zhàn),同時在企業(yè)的協(xié)作需求和IT關(guān)注之間取得平衡。
可以說,在技術(shù)棧(technology stack)中實(shí)現(xiàn)新應(yīng)用程序時,安全性是公司面臨的最大問題。在現(xiàn)代化的工作場所中,企業(yè)不僅需要保護(hù)呼叫,會議和數(shù)據(jù)的策略,還需要一種方法來確保協(xié)作消息和聊天的安全性以及確保數(shù)據(jù)兼容性的能力。工作流協(xié)作被定位為開放模型,與快速發(fā)展的數(shù)字時代的通信模式保持一致。用戶有權(quán)動態(tài)創(chuàng)建渠道并在其中共享信息。盡管此模式可能吸引數(shù)字化勞動力,但它引起了IT信息安全團(tuán)隊(duì)的高度關(guān)注。
在與Osterman Research合作進(jìn)行的一項(xiàng)最新研究中,我們研究了當(dāng)前工作流協(xié)作和統(tǒng)一通信演進(jìn)的使用情況,發(fā)現(xiàn)28%的千禧一代每周使用未經(jīng)批準(zhǔn)的應(yīng)用程序兩次至四次。這突出顯示了組織始終面臨的眾多威脅性場景之一。隨著內(nèi)部事故和無意數(shù)據(jù)泄露成為常態(tài),對強(qiáng)大的協(xié)作安全性的要求從未如此重要。
通過工作流協(xié)作,傳統(tǒng)的信息安全措施(如網(wǎng)絡(luò)邊界,防火墻和訪問控制列表)無法輕松解決這些風(fēng)險。甚至以云為中心的解決方案也僅從數(shù)據(jù)分類的角度(例如,對包含信用卡號的文件進(jìn)行標(biāo)記)來解決問題時受到限制。您可以通過三個角度來查看用于解決這些持續(xù)威脅的框架:了解協(xié)作安全性,對應(yīng)用程序進(jìn)行建模以更好地制定策略,以及通過監(jiān)視,度量,管理(3M)方法實(shí)施策略。
1、定義協(xié)作安全性
為了部署正確的系統(tǒng),決策者需要了解背后的驅(qū)動力,為什么協(xié)作安全與其他更好理解的安全挑戰(zhàn)如此不同。
協(xié)作安全歸結(jié)為管理現(xiàn)代協(xié)作動態(tài)進(jìn)入工作場所時引入的風(fēng)險。它涵蓋了與安全性相關(guān)的廣泛領(lǐng)域:訪問和使用策略,應(yīng)用商店管理,用戶和渠道管理以及工作流自動化。協(xié)作安全性的最終目標(biāo)是在所有協(xié)作平臺上實(shí)現(xiàn)業(yè)務(wù)價值和業(yè)務(wù)風(fēng)險之間的適當(dāng)平衡。此安全性焦點(diǎn)在Microsoft Teams,Slack,Cisco Webex Teams和Facebook的Workplace等主流應(yīng)用程序上尤為突出,但也可以定期包含UC生態(tài)系統(tǒng)的某些部分。
通常,協(xié)作安全數(shù)據(jù)泄露將在幾周甚至幾個月內(nèi)對業(yè)務(wù)所有者隱蔽。管理此類問題不在典型的網(wǎng)絡(luò)安全體系結(jié)構(gòu)之內(nèi),該體系結(jié)構(gòu)通常側(cè)重于身份/訪問管理和惡意攻擊。為了有效地解決協(xié)作安全問題,智能軟件不僅在問題發(fā)生時進(jìn)行管理,而且在風(fēng)險暴露于業(yè)務(wù)之前規(guī)避風(fēng)險至關(guān)重要。
2、為策略建模
諸如Microsoft Teams之類的應(yīng)用程序需要以允許IT安全和業(yè)務(wù)部門就有效的協(xié)作安全策略做出平衡的策略決策的方式進(jìn)行建模。定期評估和調(diào)整此類政策以確保它們能夠滿足業(yè)務(wù)需求而又沒有太多限制,這一點(diǎn)很重要。在許多情況下,自動化的策略管理和執(zhí)行可以大大減輕IT負(fù)擔(dān)。
這四個步驟通常適用于政策實(shí)施:
- 定義--根據(jù)業(yè)務(wù)和安全要求的適當(dāng)平衡制定策略定義。
- 實(shí)施--放置適當(dāng)?shù)墓ぷ髁鞒桃砸龑?dǎo)用戶遵循策略。范圍從禁用功能到通知用戶以及希望盡力而為。
- 評估--定期評估已定義策略的合規(guī)性;這很關(guān)鍵。
- 優(yōu)化--根據(jù)有效性和不斷變化的業(yè)務(wù)需求調(diào)整策略和實(shí)施。
3、3M的協(xié)作安全性
在多平臺協(xié)作應(yīng)用程序時代,控制信息工作者應(yīng)用程序行為的傳統(tǒng)模型在新一代數(shù)字時代已失效。自上而下的管理只是將用戶帶到影子IT解決方案作為解決方法。3M模型是一種巧妙的方法,可讓用戶始終使用IT選定的解決方案。這種想法是,最好是了解用戶的行為(包括令人不舒服的行為),而不是對IT的使用視而不見。該方法具有三個關(guān)鍵組件,可以將它們模制為舒適地適合組織的信息安全框架。
- 監(jiān)控器(Monitor)--IT并非強(qiáng)迫用戶采取受限行為,而是首先使用軟件工具智能來觀察跨多平臺環(huán)境的用戶行為。
- 度量(Measure) --基于軟件工具返回的分析,IT可以通過將用戶行為與為各種工作流協(xié)作應(yīng)用程序策略設(shè)置的預(yù)定義閾值進(jìn)行比較來度量用戶的合規(guī)性。
- 管理(Manage)--為了推動合規(guī)性目標(biāo),IT部門可以采取各種行動方案,包括禁用硬功能,軟用戶通信或促使組織和用戶遵守合規(guī)性的中間工作流程等。
工作流協(xié)作應(yīng)用程序平臺的最終投資回報是業(yè)務(wù)生產(chǎn)力。因此,協(xié)作安全的目標(biāo)是在不降低用戶工作效率的情況下管理風(fēng)險也就不足為奇了。盡管每個基于云的協(xié)作解決方案都提供了一組通用功能,但是每個組織必須以獨(dú)特的方式利用這些功能,以簡化業(yè)務(wù)的方式為業(yè)務(wù)和IT領(lǐng)導(dǎo)者有效地賦予最終用戶權(quán)力。
聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載
作者:Alan Chen
原文網(wǎng)址:https://www.nojitter.com/security/how-ensure-your-collaboration-apps-are-secure
