安全與創新：IT最棘手的平衡問題

Bob Violino

乍看起來，部署網絡安全措施和追求創新似乎是相互排斥的。加強安全的戰略旨在降低風險，而創新工作則要求敢于承擔風險。

企業正在想方設法推出創新的數字業務新項目，同時采取措施保護數據和其他IT資產。因此，他們建立了改善客戶體驗、獲得新收入和新市場機會的途徑，同時還加強了安全要求、保護系統和數據并遵守法規。

畢竟，這才是當今業務環境中成功的秘訣：推動變革性舉措，以確保寶貴的系統和數據安全的方式，采用云、移動技術、人工智能、數據分析和物聯網（IoT）等創新技術。

對此，當今的企業應找到一種平衡的方法，既要走在競爭的前列，試驗新技術，將概念證明應用到生產中等等，又能更好地規避風險，保證這些舉措是安全的。

在某些情況下，這可能涉及增加所有系統安全相關的預算和資源;在其他一些情況下，這意味著留出預算和資源，以保證能開展純粹的創新工作。不管怎樣，我們的目標都是創新，但要以一種安全、明智的方式來進行。

本文介紹一些企業怎樣既能創新又能很好地保證安全的例子——無論是針對具體項目還是作為一般實踐。

在保證數據安全的同時部署新的在線服務

高等教育機構應關注是否遵守《家庭教育權利和隱私法案》（FERPA），該法案旨在保護學生數據的隱私。

印第安納州賓夕法尼亞大學（IUP）首席信息官Bill Balint介紹說：“合規一直是我們最重視的問題，而傳統的校內學生信息系統和數據通常被鎖定在這些系統和文件中，認為外部訪問基本上沒什么問題。

但是，現在能夠通過網絡訪問受保護的系統，今后有可能出現的大規模安全泄露事件和數據暴露問題使得FERPA合規成為當務之急?！?/p>

Balint說，隨著高等教育轉變成更像是企業那樣運作，這個問題日益嚴重了。他說：“各院校為了實現招生和學生成功目標，越來越多地轉向客戶關系管理和數據分析解決方案等領域中基于云的快速實施服務?！?/p>

IUP正在通過基于云的訂閱服務來使用這類技術，這使得該大學能夠提供創新服務，例如，幫助創建經過優化的個性化助學金包和定制的學術分析功能，這些有助于吸引并留住成功的學生。

Balint說：“但要想實現這些，供應商通常還要求將有關學生的大量敏感學術和/或財務數據導入到供應商控制的云應用程序中。這類活動使得大學無法實施一些安全控制措施。取而代之的是，大學不得不承認供應商的‘合同承諾，即敏感數據在傳輸和靜止狀態時都能得到保護。”

為了確保敏感數據不會被泄露，IUP采取的第一步是考慮到基于云服務的安全和隱私的實際意義，只共享對工具功能最為重要的數據。

Balint說：“例如，與專注于學術成功的供應商分享成績信息是很重要的。但社保號碼對他們而言毫無價值，不應該共享。”

除此之外，IUP還要求其合作的所有云供應商通過正式的合同和服務等級協議（SLA）來滿足數據隱私和安全的行業標準。

Balint說：“很少有高等教育機構自己有專家能夠履行這些供應商的職能，而供應商所提供的服務對很多機構的發展越來越重要。業界應繼續發展保護敏感和機密數據的最佳實踐。”

提高新移動應用程序的安全性

2019年底，科羅拉多州宣布在其myColorado移動應用程序中推出科羅拉多數字ID，實現了居民與州政府互動方式的變革。myColorado的愿景是為州居民提供創新、安全和方便的移動解決方案，通過該解決方案，他們能夠與數字身份和政府服務建立連接。

科羅拉多州首席信息安全官Deborah Blyth說：“我們的目標是通過中央移動平臺把居民與服務連接起來，讓居民們更方便地辦理州政府相關的業務，例如，更新駕照等。這樣，居民們就不必去州政府辦公室了，從而減少了時間和交通成本，最終有助于提高居民滿意度。”

自10月份公開發布以來，已經有3萬多居民下載了myColorado應用程序。

Blyth說，州政府意識到，如果想要讓居民們廣泛地采用某種產品或者服務，那么獲得并維持公眾信任是最為重要的，而實現這一點的最佳舉措是一定要保證應用程序開發的安全性。

myColorado中的個人信息受到多重身份驗證和數據加密的保護，以確保整個應用程序的隱私和安全。Blyth介紹說，此外，myColorado在多個層面上使用了用戶身份驗證、認證和聯合措施來確保用戶的身份安全。

Blyth說：“當myColorado還只是一種想法的時候，安全架構師就在應用程序設計團隊中發揮了不可或缺的作用。從項目開始，就需要驗證移動用戶的身份，以便將用戶與州系統中包含的適當信息相匹配?！?/p>

其他考慮因素包括確保通過適當的身份驗證持續訪問用戶信息以防止未經授權的訪問，以及評估并選擇支付提供商來安全地處理付款。

開發團隊進行了測試，以確保移動應用程序和后端服務器不存在可能被利用的漏洞，避免敏感數據被暴露。Blyth說，在開發過程中還采取了其他預防措施，以防止開發人員訪問敏感數據。

Blyth說，myColorado成功部署安全功能的一個關鍵因素是，在設計和開發應用程序時，所有的安全需求都得到了一致同意，并通過迭代過程整合到應用程序中。

她說：“讓安全架構師作為創新團隊中積極而且平等的參與者，這保證了從一開始就能建立起重要的安全標準，而不是在開發周期結束時簡單地將其視為一個附加項。”

采用試驗性方法開展IT創新

為客戶提供員工認可和獎勵服務的O.C. Tanner公司正在啟動利用人工智能、3D打印和DevOps等新技術和方法的項目。在此過程中，該公司遵循了一些實踐，以保證數據和系統的安全，并確保隱私得到保護，同時又不會扼殺創新。

其中最重要的一點是，要把新的IT計劃視為謹慎的科學試驗。O.C. Tanner進行的技術試驗規模很小，使用的是公司現有的流程和工具，并將這些工作與企業外部的實體隔離開來。

該公司高級副總裁兼首席信息官Niel Nickolaisen介紹說：“如果我們的一個試驗有或者產生了一個漏洞，那么，我們現有的流程應該會發現這個漏洞。但如果沒有發現，漏洞也不會讓我們的環境整體上處于危險之中。”

有時，漏洞可能會導致公司取消試驗，或者找到補救和繞過問題的方法。Nickolaisen說：“在一個案例中，我們試驗了一種新技術，發現了一些問題，然后與初創公司提供商合作解決了這些問題?！?/p>

隨著試驗通過了某些驗證點（這些驗證點因技術和試驗類型而異），Nickolaisen介紹說，“我們逐步提高了試驗的生產價值標準，因此要求變得更加嚴格。在任何東西發布到我們的生產環境中之前，它必須符合我們的標準——這些標準包括安全和隱私?！?/p>

在一個例子中，O.C.Tanner認為自己有足夠豐富的數據，能夠為客戶提供員工離職原因的深度分析。

為了證明這一點，需要使用客戶端員工數據（必須保證數據的安全），以便構建基于云的人工智能/機器學習算法。

Nickolaisen說：“從小處著手，我們匿名化了客戶數據的一個子集，并在云服務中做了初步的概念驗證。結果令人鼓舞，我們認為應該繼續前進。但是，在某些時候，我們需要使用實際的、而不是匿名的數據。”

O.C.Tanner擴大了試驗規模，還評估了可用云人工智能和機器學習服務的安全和隱私過程。Nickolaisen說：“同時，我們與客戶合作，讓他們參與我們對云提供商安全/隱私舉措的評估。我們希望他們能夠像我們一樣，對我們的選擇感到滿意?！?/p>

另一個例子涉及公司正在使用的DevOps過程和工具。為了確保DevOps過程滿足其安全標準，而且仍然能夠快速部署，O.C.Tanner想實現一定程度的自動化，以便新服務和功能的創建者可以只是自行部署預先批準的更改。

Nickolaisen說：“這需要我們目前還沒有的功能和工具?！監.C. Tanner找到了這樣一款工具，但它來自一家剛創立的初創公司，因此會有一些風險。他說：“我們用他們的工具做了一項試驗來評估他們的功能。那次試驗成功后，我們開始應用我們的生產價值標準，并發現了他們產品中的一些安全和認證差距?！?/p>

O.C. Tanner隨后與該公司合作，在投入生產前解決了這些問題。

優先考慮客戶體驗和數據保護

公共機構雇員全球保險公司（WAEPA）是一家提供團體定期人壽保險的公司，其目標是通過超出文職聯邦雇員和退休人員的期望，在為他們提供服務方面超越競爭對手。

首席信息官Brandon Jones說：“隨著服務和數字化工具的發展，WAEPA意識到需要變革和優化用戶體驗中的每一個平臺和接觸點?！?/p>

Jones說，擁有強大的數字化展示功能是實現這一愿景的基礎。為了增強其在線展示能力，該公司首先進行了一項可用性研究，分析客戶數字化體驗的當前狀態，開展可用性測試和用戶訪談，并綜合數據以確定所收集信息的趨勢、模式和共性。

研究和分析揭示了有機會進一步提高可用性，WAEPA因此產生了很多發現和建議。

接下來，WAEPA啟動了一項“客戶旅程地圖工作”，以確定客戶和潛在客戶在交易過程中所經歷的各個階段，他們在每個步驟中有什么期望，他們在每個步驟中有哪些問題，以及他們在每個步驟中的感受。

Jones說：“這項工作使我們能夠確定會員參與我們產品和服務的步驟，以及與他們旅程其他部分的聯系、改進的機會，以及應該在哪些地方進行步驟合并或者拆分。通過有條不紊地繪制我們成員的步驟，我們可以將此項工作用作診斷工具?！?/p>

WAEPA利用可用性研究和客戶旅程地圖的發現，開始建立一個新的網站和會員門戶網站。新網站的目標是更好地向用戶介紹產品和應用過程;提高整個網站的一致性和易用性;提供自助工具和信息，以便用戶作出明智的決定;還有“人性化”的體驗，以幫助、引導和安撫在線用戶。

在整個過程中，首先考慮的是保護好客戶數據，安全也融入到新網站和支持基礎設施中。安全策略包括使用冗余防火墻、虛擬專用網（VPN）、防止垃圾郵件和網絡釣魚、身份和訪問管理等工具。

通過采取這些以及其他步驟，WAEPA能夠為其客戶創造更好的客戶體驗，同時還進一步提高了安全保障等級。

Bob Violino目前在紐約，是Insider Pro、Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

原文網址

https：//www.cio.com/article/3521009/security-vs-innovation-its-trickiest-balancing-act.html？nsdr=true