然而,对于安全人员来说,数字化转型并不是一件有趣的游戏。虽然安全团队可能喜欢新技术,但它也可能增加网络安全复杂性,特别是当这些技术共享基础设施时。
符合PCI标准的自动售货机
今年2月,CheckPoint公司北美工程副总裁杰夫•施瓦茨(JeffSchwartz)在cpx360发表主题演讲时,讲述了升级后的休息室自动售货机的故事。由于携带纸币或零钱的人越来越少,一家公司决定将其零食机升级为使用信用卡。对于那些想要下午3点修好芯片但只使用塑料支付的员工来说,这是个好消息。
但是,正如Schwartz指出的,现在自动售货机接受信用卡,它必须遵循支付卡行业(PCI)遵从标准。如果忽视这一点,自动售货机最终可能会让公司付出罚款。自动售货机还将与互联网连接,以便处理交易。现在它面临着被黑客攻击的风险。如果自动售货机被黑客攻击,它将为威胁者打开进入您的网络的大门。
因此,最初看起来很方便的东西变成了让人头疼的安全问题。随着物联网的发展和数字转型,预计这将成为一个新兴的风险载体。正如施瓦茨告诉他的听众的那样,共享资源和IT基础设施创造了更多丢失数据的机会。
增加对技术的依赖会影响风险
简单地说,新技术几乎总是会对风险产生影响。新的端点为威胁行为者提供了新的潜在机会。这并不是说我们不需要或不想要这种技术;相反,为了更好地保护网络和数据,我们需要更好地理解这些新端点的情况。
有了物联网,我们曾经从未想过的设备、电器和机械现在都连接到互联网上了——但你对这种连接了解多少?例如,新电梯现在是智能电梯,所以它们不仅向网络添加了另一个端点,而且还在收集数据。
电梯等设备很可能由第三方控制,这意味着他们也可以访问网络和数据。如果该建筑由十几家公司共享,则需要添加混合的数据和网络。谁负责电梯的安全?谁负责收集的资料及其保护?你对电梯公司的安全措施了解多少?你想过要担心电梯吗?
注意客户数据
数字转型的实现不仅要考虑到业务效率,还要考虑到客户的便利。事实上,你的客户希望与你的公司有更轻松的互动,这通常通过人工智能(AI)、机器学习(ML)和物联网等技术实现。例如,面向客户的人工智能,如聊天机器人,可以改善客户沟通。
麻省理工学院斯隆管理学院(MITSloanInitiative)数字经济首席研究科学家乔治•韦斯特曼(GeorgeWesterman)告诉CIO:“客户的期望远远超出了你的实际能力。”“这意味着我们要从根本上重新思考我们如何利用组织中的技术。”
因此,客户对贵公司用于促进更好的消费者关系的技术有很高的期望。然而,由于备受瞩目的数据泄露事件,以及人们对数据隐私法规的意识日益增强,客户也希望确保自己的数据是安全的。事实上,施瓦茨在他的演讲中指出,如果消费者开始根据公司收集、使用和存储客户数据的方式做出购买决定,你不应该感到惊讶。
您是否控制您的IT基础设施?
这将我们带回共享IT基础设施。问题不在于知道网络上有哪些端点并收集数据,而在于这些端点如何随着技术的变化而变化。用应用程序操作咖啡壶对员工来说非常方便,但这对数据收集有什么影响呢?聊天机器人也是一样:它当然是建立客户关系的一种方便且成本低廉的方式,但您的安全团队更了解对话是如何收集的,以及公司如何使用这些数据,否则它可能成为隐私方面的噩梦。
我们仍在了解一些基础设施上发生了多少信息共享。例如,智能电视对于一个组织视图敏感企业或消费者(例如,一个病人在医院的房间)的信息可能是一个很好的方法。但与此同时,员工(或病人)可以使用相同的电视在午休时间调到Netflix或Hulu账户。突然间,公司数据和个人数据混在了一起。如果事实证明Netflix是数据泄露的受害者,那么敏感的公司数据现在就面临着风险。
物联网和其他新兴技术在工作场所越普遍,首席信息安全官(CISO),IT领导者和其他决策者就越需要考虑使用该IT基础架构的每台设备的整体影响。这不是连接到您的网络的问题,而是连接方式以及您是否能够控制该连接的安全性。
