CISO須正確評估疫情對安全的長期影響

Dan Swinhoe

隨著疫情隔離的逐步解除，首席信息安全官需要預測其部門今后將怎樣運轉，以及怎樣保護員工和資產。最有可能的變化是為更多居家工作的員工提供長期支持。據（ISC）2在4月份發布的一份報告，96%的企業已經至少將一部分員工轉為遠程工作，其中近一半的企業允許所有員工不在辦公室工作。

這場危機也是重新思考總體安全戰略和計劃的機會，包括技術選擇、與業務部門的合作以及安全教育和培訓。

遠程工作對某些員工來說將是永久性的

Gartner的一項調查發現，3/4的企業預計在疫情結束后，至少有5%以前在企業辦公室工作的員工將長期居家工作。可再生能源資產管理公司WiseEnergy的首席信息官兼首席信息安全官Rafael Narezzi預測，這將對企業的實際工作安排產生長期影響，也意味著對首席信息安全官怎樣管理員工產生長尾效應。他說：“當我們回來后，一切都變了，我認為對辦公室不再有需求了。我的公司原本想擴大辦公室場地，但現在有了疑問：我們到底是否需要更大的辦公室？”

Narezzi介紹說，我們早就做好了準備工作，因此能夠迅速將業務轉為遠程工作模式，這不僅說明過去的支出是合理的，而且也有利于未來的論證。“一年來，我的部門一直在努力地把所有一切都轉為能夠在任何地方開展工作。企業認識到，我們為了保護業務、使企業在任何地方都能開展工作而要求的所有資金，都得到了回報，而且投資回報是合理的。”

長期居家工作面臨的安全挑戰

如果大規模的居家工作將成為企業運轉的固定方式，則很可能不得不重新評估不同的人在不同的情形下帶來的風險。《數字衛報》（Digital Guardian）發現，在封鎖隔離期間，企業數據流出量增加了80%，其中，傳送到U盤的數據量增加了123%，上傳到云存儲服務的數據量也大幅飆升。據BitGlass的一項遠程工作研究，用戶培訓、家庭網絡安全和個人設備是企業目前面臨的三大安全挑戰，其次是企業外部的敏感數據、缺乏可見性以及新安全解決方案和許可的額外成本。

財富管理公司Rathbone Brothers的網絡安全主管Ste Watts評論說：“有的人希望在安全的前提下盡快回到辦公室;而有的人則希望繼續保持遠程工作，享受遠程工作的自由和靈活。這就要求我們的網絡安全和風險部門從長計議，包括遠程打印、使用個人設備訪問公司網絡以及遠程工作場所的物理安全等等問題。”

Dimensional Research的報告發現，一半以上的企業已經開始尋找新的工具來應對后疫情時期的環境，42%的企業投資于員工培訓，幫助員工掌握適應新常態所需的新技能。然而，盡管風險增加了，《首席信息官的新冠病毒影響研究》表明，對于首席信息官而言，數字化轉型和用戶體驗比安全更為重要。首席信息安全官應與業務部門一起努力，在前進的道路上一定要重視安全問題。

Watts說：“一個優秀的領導團隊應該認識到，這些情況會帶來額外的風險，因此，領導團隊和網絡安全部門應加強合作，在需要時找到最合適的方案。企業應以既定的風險承受能力作為底線，確保在可接受的風險范圍內取得投資效益，兼顧風險和收益。”

首席信息安全官仍然需要有可靠的過程，以便將補丁發布到那些很少（如果有的話）連接到企業網絡的設備上。B2B支付公司AvidXchange還使用了Office 365，預計負載會增加，因此將VPN帶寬提高了一倍。所以，該公司首席信息安全官Christina Quaine通知用戶，要求他們通過VPN定期連接，以接收公司設備的補丁。她說：“有很多人不一定需要登錄VPN，但如果他們不登錄網絡，他們的筆記本電腦就得不到最新的補丁。”

文化變革需要首席信息安全官的領導

Watts認為，首席信息安全官不應該讓危機白白浪費掉，此次疫情其實就是一個機會，讓董事會有更多的時間，去做一些以前可能做不到的事情。他說：“疫情迫使很多企業采用以前不需要的技術和流程，也沒有計劃以如此快的速度和規模采用這些技術和流程。這反過來又是一個很好的機會，證明網絡安全不是攔路虎，而是能夠幫助企業實現目標的功能。”

Watts補充說：“優秀的安全領導們將利用網絡威脅情報定期向董事會通報情況。在此次疫情之前，有些企業可能還沒有出現類似情況，但今后這應該繼續下去。”

“顯然，這場疫情已經證明，只要有正確的動機和工作重點，就有可能做到這些。這并不是說，所有新的舉措都應該像最近一樣，以同樣的方式進行，而是表明良好的溝通和基于風險的快速決策是可能的，這將為企業帶來新的機遇。”

WiseEnergy公司的Narezzi介紹說，在危機開始時，其公司發現攻擊企圖增加了600%，主要是通過網絡釣魚和其他社會工程詐騙。然而，他已經實現了居家辦公，因此避免了很多公司在隔離之初面臨的極度混亂的狀態。“我們很幸運。去年，我們開始計劃能夠在任何地方開展工作，因此當危機來臨時，我們早已做好了準備。”

盡管做了準備，還是出現了病毒和隔離狀況才促使員工們采用新功能。雖然有了支持遠程工作的技術，但員工們仍在堅持疫情之前的舊工作方式。Narezzi說：“最困難的是讓員工們居家工作。公司對此提供了支持，但員工們不相信他們能遠程工作。然后新冠病毒來了，所以沒有其他選擇。但結果非常好。”

然而，一旦員工在家工作，他們可能會放松安全警惕。Tessian的一項新研究表明，只有不到一半的員工居家工作時采取過數據安全措施。如果企業想讓員工遵守流程和政策，那么首席信息安全官應針對居家安全工作而灌輸一種強大的安全文化。

一些企業每天都在全公司范圍內舉行“聚會”，首席信息安全官分享安全建議和技巧，讓員工了解關鍵的安全信息。即使在員工們返回辦公室后不再繼續這類會議，首席信息安全官也應利用建立起來的溝通機制，定期提醒員工們怎樣保持安全。

Watts認為，在網絡安全方面經常進行溝通，會促使員工以更好的主人翁精神來保持企業的安全。他說：“這種對網絡安全的新關注也幫助員工意識到他們是解決方案的一部分。所謂的‘人類防火墻從來沒有比現在更為重要，我認為與疫情之前相比，無論是在工作場所還是在家里，這都開始在團隊中引起了更多的共鳴，這對行業來說只能是件好事。”

重新思考安全工作人員

這場疫情正促使企業重新思考哪些技術和流程對業務來說是真正至關重要的。Narezzi預測，既然疫情危機已經證明大多數工作都是可以遠程完成的，那么更多的首席信息安全官將開始外包安全運營。他說：“今天，你購買了技術，后續還得購買勞動力來監測和控制技術。那些準備遠程工作和基于云計算開展工作的企業將在不同國家以數字方式分配流程，以節省成本。現在不需要按照英國的價格來購買SOC。如果能在墨西哥或者其他成本更低的國家得到更好的價格，何妨一試呢？”

AvidXchange公司的Quaine說，此次疫情不僅是識別和支持關鍵流程和重新調整資源的機會，而且也是能夠在任何地方完成工作的機會。“我認為疫情讓我們的部門拓寬了視野，認識到一部分部門員工可以居家工作，而這是以前從未想到過的。這給了我們更多的機會，不再局限于在我們辦公室所在的地方廣招人才。與本地招聘不同，我們可以在全國范圍內聘用最好的人才，把設備運送給他們。”

然而，盡管疫情是特殊情況，但確實顯示了與遠程工作員工定期溝通的好處，以確保他們不會過度勞累，不至于精疲力盡。Quaine說：“由于支持遠程工作，沒有了通勤時間，我們有更多的時間投入到工作中，而我更加關心我的部門了。每天下班的時候，我都會和他們聯系，看看我們做得怎么樣，別的部門怎么樣，不要讓大家覺得自己完全被鎖在電腦里了。”

Quaine還說：“因為部門每天都要開電話會議，我覺得團隊的凝聚力反而更強了。我們不光討論信息安全，還會八卦一下某位歌星的趣聞。大家相互間聯系得更多了，我認為這對我們的部門很有好處。”

Dan Swinhoe是CSO在線的英國編輯。

原文網址

https：//www.csoonline.com/article/3546428/whats-next-cisos-weigh-in-on-covids-long-term-effects-on-security.html