近日，RSA公布了兩項新的研究報告，報告對很多現(xiàn)在新興技術(shù)所顯現(xiàn)出來的深遠安全問題進行了研究分析。第一項研究報告是由IDG公司研究服務(wù)部門進行的，該報告揭露了企業(yè)采用全新的連接、協(xié)作和通信技術(shù)的匆忙速度，與安全部署這些技術(shù)的準備狀態(tài)存在著巨大差距。第二項是有關(guān)RSA業(yè)務(wù)創(chuàng)新安全委員會的研究報告，它概述了企業(yè)如何利用這些新興技術(shù)帶來的商業(yè)優(yōu)勢，同時不會使公司陷入風險之中。

　　RSA總裁Art Coviello說道，“很多企業(yè)日益成長為‘超級擴展型企業(yè)’，它們比以往任何時候，以更豐富的方式相互交換信息，新生的Web技術(shù)、社交平臺和移動技術(shù)的快速采用，以及越來越普遍的外包現(xiàn)象，正在迅速消融企業(yè)和信息資產(chǎn)的傳統(tǒng)邊界。安全戰(zhàn)略必須要進行重大轉(zhuǎn)變，以確保公司能夠?qū)崿F(xiàn)削減成本和達到收入目標的目的，同時不會造成新的、具有危險性的業(yè)務(wù)漏洞。”

　　IDG公司研究服務(wù)部門進行了一項調(diào)查，調(diào)查對象主要是收入超過10億美元公司的100位頂級安全高級管理人員，結(jié)果表明有些企業(yè)太熱衷于新興Web和移動技術(shù)，但他們在部署這些技術(shù)的同時，卻沒有對關(guān)鍵的流程和數(shù)據(jù)提供足夠的保護。

　　主要調(diào)查結(jié)果包括：

　　70%以上的被調(diào)查者認為新的Web技術(shù)和通信技術(shù)給連接和信息交換層帶來了提升，使他們的企業(yè)越來越向超級擴展型企業(yè)發(fā)展。在過去的12-24個月中，多數(shù)被調(diào)查者都增加了虛擬化、移動、社會網(wǎng)絡(luò)技術(shù)的使用，超過三分之一的被調(diào)查者增加了云計算的使用。

　　但是，許多接受調(diào)查的公司并沒有采取任何戰(zhàn)略對采用這些新技術(shù)所帶來的風險進行評估。在一些企業(yè)中，企業(yè)的安全團隊只有在發(fā)生問題時才會被要求介入，而在其它時候，使用這些新技術(shù)之前安全團隊甚至沒有得到任何的通知。不到一半的被調(diào)查公司已經(jīng)制定了相關(guān)的政策，以指導(dǎo)員工如何使用社會網(wǎng)絡(luò)工具和網(wǎng)站。

　　30%以上的被調(diào)查公司已經(jīng)有一些企業(yè)應(yīng)用或業(yè)務(wù)流程運行在云環(huán)境中，還有16%的被調(diào)查公司計劃在未來的12個月內(nèi)開始遷移到云環(huán)境中。在這些公司中，有三分之二還沒有實施云計算環(huán)境下的安全策略。

　　80%的受訪者感覺到削減成本和創(chuàng)造收益的壓力使它們大大增加了暴露在安全風險下的可能性。70%的受訪者在過去的18個月中經(jīng)歷過安全事件。

　　大部分受調(diào)查者都表示，需要改變和提高企業(yè)的安全戰(zhàn)略，以適應(yīng)超級擴展型企業(yè)的現(xiàn)狀。

　　研究結(jié)果在IDG公司研究服務(wù)部門的白皮書“隨著超級擴展性企業(yè)的不斷成長，風險也在日益擴大”中有詳細的描述。企業(yè)們也可以對它們成為超級擴展型企業(yè)的安全準備狀態(tài)進行測試，并將測試結(jié)果與受調(diào)查高級管理人員的結(jié)果進行對比。

　　頂級“信息安全官”表示，超級擴展型企業(yè)需要新的安全措施

　　同樣在今天，RSA還公布了其業(yè)務(wù)創(chuàng)新安全理事會的第四份報告：“構(gòu)建大道：在前所未有的風險環(huán)境下打造“超級擴展型”企業(yè)。”在這份報告中，來自世界各地的頂級安全領(lǐng)導(dǎo)者共同探討了在今天這樣一個原本能夠推動新的商業(yè)價值的善意行動卻會使企業(yè)置于災(zāi)難性風險之中的世界里，如何轉(zhuǎn)變安全戰(zhàn)略。

　　“在這個特定的時間點，如果我們有這樣一個迅速變化的環(huán)境，我們絕對要哭，‘時間到!’我們需要逐步走出來，我們需要檢驗計劃是否進行了正確的調(diào)整，”Diageo(帝亞吉歐)首席信息安全官、理事會成員Claudia Natanson博士表示，“您的計劃是否為即將開始的艱辛困境作好了準備?因為只有最敏捷的，最勝任的，最靈活的計劃才能到達終點。”

　　RSA的前一項研究：“推動更快地發(fā)展：在嚴峻的經(jīng)濟環(huán)境下管理信息安全以尋求戰(zhàn)略優(yōu)勢”，強調(diào)了在面臨預(yù)算和資源限制時不要使創(chuàng)新倒退的重要性。這項新的報告演示了頂級公司的領(lǐng)導(dǎo)者是如何在促進創(chuàng)新的同時，還不忽略企業(yè)的安全實踐和政策。

　　報告提供了創(chuàng)建企業(yè)全新安全模型的七個步驟

　　在與業(yè)務(wù)創(chuàng)新安全理事會，世界頂級安全官的深入對話基礎(chǔ)上，本報告著眼于信息安全的發(fā)展方向。它為開發(fā)一個能夠反映即將出現(xiàn)的新機會和危險的最新信息安全模型提供了具體的建議。理事會成員概述了為什么現(xiàn)今的威脅環(huán)境變化莫測，并就如何安全地利用超級擴展型企業(yè)以創(chuàng)造業(yè)務(wù)優(yōu)勢共享了他們的建議。具體指導(dǎo)包括：

　　·在保護環(huán)境中進行限制。確定能更加有效地利用資源的方式。例如，理事會概述了限制安全資源對不相干的信息資產(chǎn)，存儲數(shù)據(jù)，以及設(shè)備進行保護的戰(zhàn)略。通過在保護環(huán)境中進行限制，企業(yè)同時還能夠降低成本，減少風險并釋放資源，以用于高優(yōu)先級的項目。

　　·取得競爭力。在經(jīng)濟艱難的時候，如果企業(yè)領(lǐng)導(dǎo)人感覺不能從內(nèi)部安全企業(yè)中得到他們所需要的，那么轉(zhuǎn)向外部服務(wù)供應(yīng)商，而不將公司安全團隊包含進來將會增加企業(yè)的總體風險。理事會解釋了安全團隊如何專注于他們服務(wù)質(zhì)量和效率，并能清晰地闡明購買服務(wù)的價格為他們所帶來的價值。

　　·積極利用相關(guān)領(lǐng)域的科技。信息安全部門必須認識到阻止新興Web和通信技術(shù)的使用是不可行的;相反他們必須推動這些技術(shù)的安全使用。理事會成員就如何從被動安全措施轉(zhuǎn)變到預(yù)防性安全措施，以及如何建立企業(yè)采用新技術(shù)的路線圖分享了指導(dǎo)意見。

　　·從保護容器轉(zhuǎn)向保護數(shù)據(jù)。在超級擴展型企業(yè)的時代，越來越多的企業(yè)數(shù)據(jù)都是在不為企業(yè)所控制的容器中進行存儲和處理。例如，數(shù)據(jù)可能由服務(wù)供應(yīng)商的設(shè)施進行處理，或保留在員工使用的PDA，或擁有多個企業(yè)客戶的承包商使用的筆記本電腦中。在這樣的環(huán)境中，理事會對將重點從保護設(shè)備轉(zhuǎn)移到保護數(shù)據(jù)上提供了指導(dǎo)。

　　·采用先進的安全監(jiān)控技術(shù)。在今天的威脅環(huán)境中，安全團隊必須對用來監(jiān)測異常和惡意活動的方法進行升級。理事會成員分享了從基于簽名的防病毒和黑名單方法轉(zhuǎn)向諸如基于行為的監(jiān)測和白名單等更精確技術(shù)的建議。