CTI論壇(ctiforum.com)(編譯/老秦): 提供三種見(jiàn)解,以解決日益嚴峻的安全挑戰,同時(shí)在企業(yè)的協(xié)作需求和IT關(guān)注之間取得平衡。
可以說(shuō),在技術(shù)棧(technology stack)中實(shí)現新應用程序時(shí),安全性是公司面臨的最大問(wèn)題。在現代化的工作場(chǎng)所中,企業(yè)不僅需要保護呼叫,會(huì )議和數據的策略,還需要一種方法來(lái)確保協(xié)作消息和聊天的安全性以及確保數據兼容性的能力。工作流協(xié)作被定位為開(kāi)放模型,與快速發(fā)展的數字時(shí)代的通信模式保持一致。用戶(hù)有權動(dòng)態(tài)創(chuàng )建渠道并在其中共享信息。盡管此模式可能吸引數字化勞動(dòng)力,但它引起了IT信息安全團隊的高度關(guān)注。
在與Osterman Research合作進(jìn)行的一項最新研究中,我們研究了當前工作流協(xié)作和統一通信演進(jìn)的使用情況,發(fā)現28%的千禧一代每周使用未經(jīng)批準的應用程序兩次至四次。這突出顯示了組織始終面臨的眾多威脅性場(chǎng)景之一。隨著(zhù)內部事故和無(wú)意數據泄露成為常態(tài),對強大的協(xié)作安全性的要求從未如此重要。
通過(guò)工作流協(xié)作,傳統的信息安全措施(如網(wǎng)絡(luò )邊界,防火墻和訪(fǎng)問(wèn)控制列表)無(wú)法輕松解決這些風(fēng)險。甚至以云為中心的解決方案也僅從數據分類(lèi)的角度(例如,對包含信用卡號的文件進(jìn)行標記)來(lái)解決問(wèn)題時(shí)受到限制。您可以通過(guò)三個(gè)角度來(lái)查看用于解決這些持續威脅的框架:了解協(xié)作安全性,對應用程序進(jìn)行建模以更好地制定策略,以及通過(guò)監視,度量,管理(3M)方法實(shí)施策略。
1、定義協(xié)作安全性
為了部署正確的系統,決策者需要了解背后的驅動(dòng)力,為什么協(xié)作安全與其他更好理解的安全挑戰如此不同。
協(xié)作安全歸結為管理現代協(xié)作動(dòng)態(tài)進(jìn)入工作場(chǎng)所時(shí)引入的風(fēng)險。它涵蓋了與安全性相關(guān)的廣泛領(lǐng)域:訪(fǎng)問(wèn)和使用策略,應用商店管理,用戶(hù)和渠道管理以及工作流自動(dòng)化。協(xié)作安全性的最終目標是在所有協(xié)作平臺上實(shí)現業(yè)務(wù)價(jià)值和業(yè)務(wù)風(fēng)險之間的適當平衡。此安全性焦點(diǎn)在Microsoft Teams,Slack,Cisco Webex Teams和Facebook的Workplace等主流應用程序上尤為突出,但也可以定期包含UC生態(tài)系統的某些部分。
通常,協(xié)作安全數據泄露將在幾周甚至幾個(gè)月內對業(yè)務(wù)所有者隱蔽。管理此類(lèi)問(wèn)題不在典型的網(wǎng)絡(luò )安全體系結構之內,該體系結構通常側重于身份/訪(fǎng)問(wèn)管理和惡意攻擊。為了有效地解決協(xié)作安全問(wèn)題,智能軟件不僅在問(wèn)題發(fā)生時(shí)進(jìn)行管理,而且在風(fēng)險暴露于業(yè)務(wù)之前規避風(fēng)險至關(guān)重要。
2、為策略建模
諸如Microsoft Teams之類(lèi)的應用程序需要以允許IT安全和業(yè)務(wù)部門(mén)就有效的協(xié)作安全策略做出平衡的策略決策的方式進(jìn)行建模。定期評估和調整此類(lèi)政策以確保它們能夠滿(mǎn)足業(yè)務(wù)需求而又沒(méi)有太多限制,這一點(diǎn)很重要。在許多情況下,自動(dòng)化的策略管理和執行可以大大減輕IT負擔。
這四個(gè)步驟通常適用于政策實(shí)施:
- 定義--根據業(yè)務(wù)和安全要求的適當平衡制定策略定義。
- 實(shí)施--放置適當的工作流程以引導用戶(hù)遵循策略。范圍從禁用功能到通知用戶(hù)以及希望盡力而為。
- 評估--定期評估已定義策略的合規性;這很關(guān)鍵。
- 優(yōu)化--根據有效性和不斷變化的業(yè)務(wù)需求調整策略和實(shí)施。
3、3M的協(xié)作安全性
在多平臺協(xié)作應用程序時(shí)代,控制信息工作者應用程序行為的傳統模型在新一代數字時(shí)代已失效。自上而下的管理只是將用戶(hù)帶到影子IT解決方案作為解決方法。3M模型是一種巧妙的方法,可讓用戶(hù)始終使用IT選定的解決方案。這種想法是,最好是了解用戶(hù)的行為(包括令人不舒服的行為),而不是對IT的使用視而不見(jiàn)。該方法具有三個(gè)關(guān)鍵組件,可以將它們模制為舒適地適合組織的信息安全框架。
- 監控器(Monitor)--IT并非強迫用戶(hù)采取受限行為,而是首先使用軟件工具智能來(lái)觀(guān)察跨多平臺環(huán)境的用戶(hù)行為。
- 度量(Measure) --基于軟件工具返回的分析,IT可以通過(guò)將用戶(hù)行為與為各種工作流協(xié)作應用程序策略設置的預定義閾值進(jìn)行比較來(lái)度量用戶(hù)的合規性。
- 管理(Manage)--為了推動(dòng)合規性目標,IT部門(mén)可以采取各種行動(dòng)方案,包括禁用硬功能,軟用戶(hù)通信或促使組織和用戶(hù)遵守合規性的中間工作流程等。
工作流協(xié)作應用程序平臺的最終投資回報是業(yè)務(wù)生產(chǎn)力。因此,協(xié)作安全的目標是在不降低用戶(hù)工作效率的情況下管理風(fēng)險也就不足為奇了。盡管每個(gè)基于云的協(xié)作解決方案都提供了一組通用功能,但是每個(gè)組織必須以獨特的方式利用這些功能,以簡(jiǎn)化業(yè)務(wù)的方式為業(yè)務(wù)和IT領(lǐng)導者有效地賦予最終用戶(hù)權力。
聲明:版權所有 非合作媒體謝絕轉載
作者:Alan Chen
原文網(wǎng)址:https://www.nojitter.com/security/how-ensure-your-collaboration-apps-are-secure
