CIO與IT部門如何清理企業環境中的安全風險

　　所以CIO和他的IT部門負責人需要能夠識別與管理企業環境中的那些影子IT--潛伏在企業中的風險與隱患。本文是目前企業中幾個影子IT存在的主要方向，希望給各位CIO一個有效的參考。
    CIO視為企業信息化的推動者，首先因為CIO是進入企業決策圈的角色，有義務對企業的長期發展負責，通過組織起一支專業隊伍來完成其使命，而整合外部資源也是其中之一。

　　以CIO為代表的信息部門，仍然承擔著為企業內部各部門提供服務的責任。例如傳統的文檔服務，搭建網絡平臺，開發信息系統，提供硬件維修服務，安裝相關軟件，處理有關數據等。

    作為戰略思想家的CIO，變成企業決策層的導師與顧問時，能夠在戰略層面為企業產品或服務開發以及市場營銷起著積極作用，利用現代信息技術為商業帶來機遇時，CIO就成為企業CEO或者COO的最佳人選，因為CIO具備企業全局的觀點。
    　1、監控你的網絡。

　　對于企業IT部門來講，如果你想找出網絡中存在的風險，那么完善的監控策略是必不可少的。不管員工使用個人設備還是企業統一提供的設備進行辦公，IT團隊都需要對這些設備與軟件進行有效監控。只有完全掌握軟件與硬件的監控權才能有效的找出風險，并且排除它。
   發現風險只是第一步，接下來需要做的就是進行快速識別。你需要對新加入的以及未識別的設備進行快速識別，比較之前的列表，從而進行快速添加與排除設備。將安全可信的設備放行進來，將存在風險和隱患的設備盡早排除。

　　通過對企業環境的漏洞掃描與監控，IT部門會不斷的完善企業的IT環境，而員工也可以盡可能的從IT部門獲得最大的支持與幫助。當然，IT部門還可以根據網絡日志、數據防火墻、代理與MDM等方式進行內部設備的監控與識別。在這些數據中會告訴你，是誰用的資源最多，用來多少，頻率和上傳下載的數據是多少。

　　2、優先考慮風險。

　　并不是所有的軟件和服務都需要監控。CIO可以利用云服務的注冊記者來識別風險提高服務，并且可以解決大部分日常工作。資質這些高風險的服務通過基礎設施不或者通過用戶的身份識別來停止他們的服務，可以很好的為企業避免不必要的損失。

　　對于一個成熟的團隊而言，快速的識別風險并且優先解決風險是必備的技能。
    　3、建立BYOD、云服務以及移動應用的指導方針。

　　隨著技術的不斷發展，移動信息化、BYOD以及云服務開始在企業中大量采用。對于CIO和IT部門來講，需要指定相應的指導策略，這樣才能幫助其他員工更好的使用這些服務與軟件。

　　同時，按照統一標準制定出來的實施方案有助于未來的可持續發展，并且會大大提升這些方案在企業中的有效作用，防止影子IT的發生。

　　這將使業務部門自己的購買決策是保證引入不會導致兼容性或安全問題，另外，它應該把流程，允許快速批準或不批準新應用積極尋求業務單位。

　　目前在企業中尤其是開始實施BYOD策略的企業，員工自帶的設備種類繁多，給IT部門的管理帶來了很大的壓力。如果沒有得到足夠多的重視，那么這會給企業信息安全帶來不可估計的損失。制定一個嚴格的并且是可執行的流程方案，可以讓員工知道前期什么是允許的，減輕了未經批準的應用程序和設備使用的風險，以及安全風險。

　　4、提供選擇。

　　今天的企業員工吸引能夠采用自己最舒適的方式進行工作。比如遠程訪問。員工可以在家或者咖啡館遠程訪問企業數據，進行必要的辦公。如果企業不提供遠程訪問企業數據安全解決方案，員工會找到自己的方式來管理信息有效地通過消費產品，可以把組織面臨風險。

　　隨時隨地的為員工提供安全的訪問接口這是企業IT部門必須完成的一項工作。這樣可以大大減少員工外部訪問所帶來的風險，而且這樣你還能對訪問的數據進行控制。

　　企業員工采用iOS與Android設備進行遠程訪問他們的工作內容，所以確保你給用戶移動選擇工作與您現有的移動管理平臺或提供廣泛的安全策略控制保護數據丟失或被盜設備。IT組織不應忽視BYOD，但應該解決這個預先解決方案，使這些員工在個人設備上做所有的工作安全。

　　如果企業員工不能進行選擇，那么他們會尋找自己習慣的訪問方式與工作方式，這樣甚至通過一些非法的高危險途徑進行訪問。這樣你不僅失去了這些設備與接口的控制權，反而會為企業IT部門創造出更多的影子問題。

　　如果你想讓'BYOD安全地工作，給員工一個合適的方法，而不是強迫他們找到解決方案。
    　5、限制第三方應用的訪問。

　　在目前的企業中有很多第三方應用的存在，比如Dropbox，SharePoint和SkyDrive等等，大多數的IT政策都是進行內部防護，并且針對的只是企業內部的軟件與硬件設備。但目前越來越多的員工使用了大量的第三方服務。

　　這會造成IT部門的控制權喪失，寫明您的IT政策不允許這些服務，并提供你的員工足夠的訓練，以便消息是清楚的。IT政策需要控制個別用戶選擇他們能夠安裝的應用程序，這樣會為企業消滅更多的安全隱患。

　　然而員工的使用習慣并不是一時半會可以改變的。這就要求企業將自身的軟件變得更加人性化，更加方便可用。這樣員工會更傾向于采用內部軟件，從而放棄對外部應用的使用。而且明令禁止并不是一個好辦法，有時它可以更有效的識別用戶，幫助他們理解風險和建議一個低風險的選擇與等效的功能。人們傾向于尋找方法去站點和服務他們感到不公正阻止。
    6、適當的進行開放。

　　當企業IT部門確定了安全隱患存在時，有兩種選擇，第一種就是修復它，利用各種辦法進行修復，避免同樣的問題出現。然而這并不是最優的解決方案，一味的修復和禁止只會讓你的系統越來越封閉。

　　這時候你需要進行適當的開放，對一些第三方的軟件應用進行開放。比如我們之前提到的Dropbox、Skype等等。這并不是盲目的進行開放，而是根據一定的策略進行開放，由IT部門主導，對員工進行統一的開放。

　　畢竟這些軟件在實際的工作中有很好的幫助，如果徹底堵死，會顯得并不是那么明智。嘗試相應的開放也許并不是那么危險，畢竟這些接口是從IT部門進行開放，IT部門依然擁有這些軟件的控制權。