|
安全與創(chuàng)新:IT部門需要平衡的一件最棘手的工作
乍一看�����,網(wǎng)絡(luò)安全措施的部署和對創(chuàng)新的追求似乎是相互排斥的。增強(qiáng)安全性的策略旨在降低風(fēng)險��,而創(chuàng)新工作則要求對風(fēng)險持開放態(tài)度����。但企業(yè)正在尋找方法來啟動創(chuàng)新性的和全新的數(shù)字業(yè)務(wù)計劃,同時采取措施來保護(hù)數(shù)據(jù)和其他IT資產(chǎn)�。這樣一來,即使他們加強(qiáng)了安全性要求,對系統(tǒng)和數(shù)據(jù)進(jìn)行了保護(hù)����,以及遵守了相關(guān)法規(guī)��,但他們?nèi)栽陂_啟一些新的營收方式,改善了客戶體驗和增加了在新市場中的機(jī)遇�。畢竟�,這是當(dāng)今商業(yè)環(huán)境中取得成功的秘訣:推動實施變革性舉措���,采用云���、移動技術(shù)、人工智能���、數(shù)據(jù)分析和物聯(lián)網(wǎng)等創(chuàng)新技術(shù),以確保有價值的系統(tǒng)和數(shù)據(jù)的安全性得到保障���。為此,如今的企業(yè)需要找到各種方法以達(dá)到一種平衡��,既要在競爭中走在前列���,又要嘗試新技術(shù)��,還要將概念驗證投入生產(chǎn)中等等工作,同時還要采用更多規(guī)避風(fēng)險的做法來確保這些舉措是安全的���。在某些情況下���,這可能涉及到為所有系統(tǒng)的安全性增加預(yù)算和資源;在另一些情況下���,這可能意味著要留出預(yù)算和資源以確保開展純粹的創(chuàng)新工作����。無論哪種情況����,其目標(biāo)都是創(chuàng)新���,但要以一種安全���、合理的方式進(jìn)行��。以下提供了一些示例�,以說明企業(yè)如何針對特定項目或作為常規(guī)做法來平衡創(chuàng)新與安全性����。部署新的在線服務(wù),同時確保數(shù)據(jù)安全高等教育機(jī)構(gòu)需要關(guān)注于對《家庭教育權(quán)利和隱私法案(FERPA)》的遵守情況���,該法案旨在保護(hù)學(xué)生數(shù)據(jù)的隱私��?���!氨M管合規(guī)性長期以來一直是一項首要工作�,但傳統(tǒng)的本地學(xué)生信息系統(tǒng)和數(shù)據(jù)通常被存儲在這些系統(tǒng)和文件中,很少有人擔(dān)心外界會獲取這些信息�����,”賓夕法尼亞州印第安納大學(xué)(IUP)首席信息官比爾?巴林特(Bill Balint)說道���。巴林特說:“但隨著基于網(wǎng)絡(luò)來訪問一些安全系統(tǒng)的出現(xiàn)�����,大規(guī)模安全漏洞和數(shù)據(jù)泄露的潛在風(fēng)險使遵守《家庭教育權(quán)利和隱私法案》成為當(dāng)務(wù)之急����。”巴林特表示���,隨著高等教育已經(jīng)轉(zhuǎn)變?yōu)楦虡I(yè)化運作,這個問題已經(jīng)升級。他說:“努力實現(xiàn)招生和成功完成學(xué)生學(xué)業(yè)目標(biāo)的教育機(jī)構(gòu)已經(jīng)越來越多地轉(zhuǎn)向在客戶關(guān)系管理和數(shù)據(jù)分析解決方案等領(lǐng)域中基于云端的快速實施服務(wù)?��!辟e夕法尼亞州印第安納大學(xué)正在通過基于云的訂閱服務(wù)來使用這些技術(shù)����,而這也讓該大學(xué)可提供一些創(chuàng)新性的服務(wù),例如幫助創(chuàng)建一些更好的�����、個性化的大學(xué)助學(xué)金和定制化的學(xué)業(yè)分析,從而有助于吸引并留住學(xué)習(xí)優(yōu)秀的學(xué)生�����。巴林特說:“但是為了做到這一點����,供應(yīng)商通常還會要求將有關(guān)學(xué)生的許多敏感學(xué)業(yè)和/或財務(wù)信息導(dǎo)入供應(yīng)商管理的云應(yīng)用程序中��。”“而這些操作使教育機(jī)構(gòu)失去了對安全性的控制���。相反�,教育機(jī)構(gòu)還常常必須“接受供應(yīng)商的合同規(guī)定”,即敏感數(shù)據(jù)要在傳輸和存儲狀態(tài)下確保安全��?���!睘榱舜_保不泄漏敏感數(shù)據(jù),賓夕法尼亞州印第安納大學(xué)采取的第一步是考慮云端服務(wù)存在的安全與隱私隱患����,并且僅共享與某一工具功能相關(guān)的核心數(shù)據(jù)。巴林特說:“例如,某一供應(yīng)商的工作側(cè)重于學(xué)生學(xué)業(yè)是否優(yōu)秀�,那么與其共享成績信息就非常重要��?!薄暗c其共享社會安全號碼就沒有任何意義��,也不應(yīng)共享�����?�!背酥猓e夕法尼亞州印第安納大學(xué)還要求與之合作的所有云供應(yīng)商都要通過簽訂正式的合同和服務(wù)水平協(xié)議(SLA)以符合數(shù)據(jù)隱私和安全性的行業(yè)標(biāo)準(zhǔn)��。巴林特說:“很少有高等教育機(jī)構(gòu)能夠在其內(nèi)部擁有專業(yè)知識來提供這些供應(yīng)商所具有的功能�,但這些供應(yīng)商提供的服務(wù)對許多教育機(jī)構(gòu)的生存越來越重要?����!?“教育行業(yè)必須繼續(xù)發(fā)展出自身的最佳做法,以保護(hù)敏感和機(jī)密數(shù)據(jù)�?���!痹谛碌囊苿討?yīng)用程序中增加安全性在2019年末���,科羅拉多州宣布在myColorado移動應(yīng)用程序中推出“科羅拉多數(shù)字身份證”�����,以改變居民與州政府之間的互動方式��。該myColorado應(yīng)用程序的愿景是為該州居民提供一種創(chuàng)新的��、安全的和便捷的移動解決方案,使他們可以憑數(shù)字身份與政府服務(wù)建立聯(lián)系?��!拔覀兊哪繕?biāo)是通過一個中央移動平臺將本州居民與各項服務(wù)聯(lián)系起來���,從而使他們更容易與州政府之間辦理業(yè)務(wù)�,例如更新駕照,”科羅拉多州首席信息安全官黛博拉?布萊斯(Deborah Blyth)說?!斑@樣就不需要前往州辦公機(jī)構(gòu),從而節(jié)省了居民的時間和交通成本����,并最終幫助實現(xiàn)客戶的滿意度?!弊匀ツ?0月公開推行以來����,已超過30,000多名居民下載了myColorado應(yīng)用程序����。布萊斯表示,州政府意識到�����,對于確保向居民提供的任何產(chǎn)品或服務(wù)被廣泛使用���,獲取和維護(hù)來自公眾的信任是至關(guān)重要的�����,而實現(xiàn)這一點的最佳途徑是要確保安全性成為應(yīng)用程序開發(fā)工作中的關(guān)鍵組成部分。myColorado應(yīng)用程序中的個人信息通過多重身份驗證和數(shù)據(jù)加密進(jìn)行保護(hù)�,以保證該應(yīng)用程序的隱私性和安全性。另外��,myColorado應(yīng)用程序在多個級別上進(jìn)行用戶身份驗證、確認(rèn)和聯(lián)合身份驗證�����,以確保該用戶的身份�,布萊斯說道?��!白詍yColorado應(yīng)用程序還只是一個想法的時候����,安全架構(gòu)師就在應(yīng)用程序設(shè)計團(tuán)隊中扮演著不可或缺的角色�����,”布萊斯說���?���!皬脑擁椖块_始時�����,就需要驗證移動用戶的身份,以使該用戶與該州系統(tǒng)中保存的相關(guān)信息匹配起來�����?��!逼渌枰紤]的因素包括確保通過適當(dāng)?shù)纳矸蒡炞C才允許訪問用戶的信息����,以防止未經(jīng)授權(quán)進(jìn)行訪問�,以及評估和選擇一個支付服務(wù)提供商以安全地處理各項付款。開發(fā)團(tuán)隊進(jìn)行了測試���,以確保該移動應(yīng)用程序和后端服務(wù)器不存在可能被利用的漏洞�����,從而導(dǎo)致敏感數(shù)據(jù)被泄漏����。布萊斯表示��,在開發(fā)過程中也采取了其他預(yù)防措施��,以防止開發(fā)人員訪問敏感數(shù)據(jù)�����。布萊斯表示����,myColorado應(yīng)用程序安全功能成功部署的一個關(guān)鍵因素是,在設(shè)計和構(gòu)建該應(yīng)用程序過程中�����,所有安全要求都得到大家一致認(rèn)可�����,然后通過一個迭代過程被整合到應(yīng)用程序中�����。她說:“讓安全架構(gòu)師作為創(chuàng)新團(tuán)隊中一個積極和平等參與者����,這就確保了從項目一開始就建立起重要的安全標(biāo)準(zhǔn)��,而并非在開發(fā)周期結(jié)束時簡單地將其作為一個可選項?����!辈捎脤嶒炐苑椒ㄟM(jìn)行IT創(chuàng)新O.C. Tanner公司會為客戶提供員工認(rèn)同和獎勵服務(wù)��,該公司正在利用人工智能����、3D打印和DevOps等新技術(shù)或方法來開展一些項目����。在此過程中��,該公司遵循一系列的做法���,以確保數(shù)據(jù)和系統(tǒng)的安全�,并且隱私權(quán)得到保護(hù)��,同時又不會扼殺創(chuàng)新���。最重要的一點是將新的IT舉措視為謹(jǐn)慎的科學(xué)實驗�����。O.C. Tanner公司會使用自己現(xiàn)有的流程和工具進(jìn)行小型的技術(shù)試驗�,而且這些工作與公司外部的實體是隔離開的?!叭绻覀兊哪稠棇嶒炗新┒椿虍a(chǎn)生了漏洞,則我們現(xiàn)有的流程應(yīng)該會發(fā)現(xiàn)該漏洞�����,”高級副總裁兼首席信息官Niel Nickolaisen說��?��!暗绻闆r并非如此,則該漏洞也不會使我們其他系統(tǒng)處于危險之中���?����!庇袝r,某一漏洞可能導(dǎo)致公司取消該實驗或想辦法進(jìn)行補(bǔ)救或繞過此問題����。“在某一案例中���,我們當(dāng)時正在試驗一項新技術(shù),發(fā)現(xiàn)了一些問題��,然后與(初創(chuàng)企業(yè))提供商合作解決了這些問題��,”Nickolaisen說����。Nickolaisen表示,由于實驗會經(jīng)過某些驗證點���,而這些驗證點是隨技術(shù)和實驗類型不同而存在差異的����,同時“因為我們擁有實驗規(guī)模的生產(chǎn)價值標(biāo)準(zhǔn)�,因此要求也變得更加嚴(yán)格”。“在我們的生產(chǎn)環(huán)境中發(fā)布任何東西之前���,它必須符合我們的標(biāo)準(zhǔn)——這些標(biāo)準(zhǔn)包括安全性(和)隱私性�?��!痹谝粋€案例中�����,O.C. Tanner公司相信自己擁有足夠多的數(shù)據(jù)��,可以為客戶提供關(guān)于員工離職原因的一些見解����。為了證明這一點��,在必須保證客戶員工數(shù)據(jù)安全的情況下�����,公司需要使用這些數(shù)據(jù)來構(gòu)建基于云端的人工智能/機(jī)器學(xué)習(xí)算法��。Nickolaisen說:“從小處著手����,我們對一部分客戶數(shù)據(jù)進(jìn)行匿名化�,然后在云服務(wù)中進(jìn)行了初步的概念驗證��?!薄捌浣Y(jié)果令人鼓舞,我們覺得應(yīng)該將工作繼續(xù)推進(jìn)�。但在某些時候,我們會需要使用真實的而非匿名的數(shù)據(jù)�。”隨著O.C. Tanner公司對實驗規(guī)模的擴(kuò)大����,其還對可用的云端人工智能和機(jī)器學(xué)習(xí)服務(wù)的安全性和隱私流程進(jìn)行了評估����。“與此同時�����,我們與客戶合作�,這樣他們也可以參與到我們對云提供商的安全性/隱私性實踐的評估工作中,” Nickolaisen說道���?!拔覀冃枰麄兒臀覀円粯訉ψ龀龅倪x擇感到滿意?��!绷硪粋€示例涉及到公司正在使用的DevOps流程和工具�����。為了確保DevOps流程符合其安全標(biāo)準(zhǔn)��,同時仍可以快速部署���,O.C. Tanner公司希望創(chuàng)建一些自動化過程,這樣新服務(wù)和功能的創(chuàng)建者僅能夠自行部署那些預(yù)先批準(zhǔn)的更改內(nèi)容�。Nickolaisen說:“這需要使用我們所沒有的功能或工具?���!監(jiān).C. Tanner公司找到了一款這樣的工具,但它來自一家剛起步的初創(chuàng)公司�����,因此存在一定的風(fēng)險���。他說:“我們對其工具進(jìn)行了實驗�����,以評估其功能�����?����!薄霸谠搶嶒灣晒?���,我們就開始應(yīng)用自己的生產(chǎn)價值標(biāo)準(zhǔn),然后發(fā)現(xiàn)了其產(chǎn)品中存在一些安全性和認(rèn)證方面的缺陷���。”然后�����,O.C. Tanner公司與該公司進(jìn)行合作����,在該工具投入生產(chǎn)之前將這些問題解決掉�����。優(yōu)先考慮客戶體驗和數(shù)據(jù)保護(hù)全球公共機(jī)構(gòu)雇員保險(WAEPA)是一個團(tuán)體定期人壽保險的提供商���,其目標(biāo)是超越競爭對手,超出普通聯(lián)邦雇員和退休人員的預(yù)期�����,為他們提供服務(wù)���?!半S著服務(wù)和數(shù)字工具的不斷發(fā)展�����,全球公共機(jī)構(gòu)雇員保險公司意識到需要轉(zhuǎn)變和提升在用戶體驗中的每個平臺和接觸點�,”首席信息官布蘭登·瓊斯(Brandon Jones)說道。瓊斯表示�,擁有強(qiáng)大的數(shù)字化影響力是實現(xiàn)這一愿景的基礎(chǔ)。為了增強(qiáng)其在線影響力����,該組織首先進(jìn)行了一項可用性研究����,分析了客戶數(shù)字化體驗的當(dāng)前狀態(tài)�����,進(jìn)行了可用性測試和用戶訪談���,然后對這些數(shù)據(jù)進(jìn)行整合以找到在所收集到的信息中的趨勢����、模式和共性�����。該項研究和分析工作為他們提高服務(wù)的可用性提供了可能���,讓全球公共機(jī)構(gòu)雇員保險公司獲得了一系列的研究結(jié)果和建議。然后����,全球公共機(jī)構(gòu)雇員保險公司啟動了一項“客戶旅程分析工作”��,以確定客戶和潛在客戶在交易過程中所經(jīng)歷的各個階段��,他們在每一步中期望得到什么�,在每一步中都遇到什么問題�����,以及在每一步中他們的感受如何����。瓊斯說:“這項工作讓我們能夠掌握會員們使用我們產(chǎn)品和服務(wù)的步驟,他們在這一過程中關(guān)聯(lián)的其他內(nèi)容����,我們需要改進(jìn)的空間以及應(yīng)該合并或拆分哪些步驟?��!薄巴ㄟ^系統(tǒng)地繪制我們會員所經(jīng)歷的各個步驟���,我們可將該項工作作為一個診斷工具?�!比蚬矙C(jī)構(gòu)雇員保險公司開始利用之前在可用性研究和客戶旅程圖中的工作結(jié)果來建立一個新的網(wǎng)站和會員入口。該新網(wǎng)站的目標(biāo)是更好地向用戶介紹產(chǎn)品和申請流程����;提高整個網(wǎng)站的一致性和易用性;提供自助服務(wù)工具和信息����,以便于用戶做出明智的決定;以及使客戶體驗“人性化”����,幫助、指導(dǎo)在線用戶�,使其更安心。在整個工作過程中�����,保護(hù)客戶數(shù)據(jù)是首要考慮因素���,同時安全性也已納入到新網(wǎng)站和支持基礎(chǔ)架構(gòu)中�。安全策略包括使用一些工具����,例如冗余防火墻��、虛擬專用網(wǎng)(VPN)、防止垃圾郵件和網(wǎng)絡(luò)釣魚�����,以及身份和訪問管理等��。通過采取以上及其他措施�����,全球公共機(jī)構(gòu)雇員保險公司可以為其客戶營造更好的客戶體驗�����,同時提供了高度的安全性����。
|
