消費端化與企業資訊技術安全-2010-09-15
如果你是一個典型愛掛網的美國人,你會擁有許多你喜歡的高科技工具,另外還會有更多是你所覬覦的。你有一支可輕鬆發送簡訊的手機。你有一部依照你喜好配置的筆記型電腦。或許你會有一部用來閱讀的Kindle(Amazon.com的電子書閱讀器)或者一部iPad。當有新玩意出現時,你們其中有些人會在開賣首日跑去排隊採購。
那麼,為什麼工作環境跟不上這股潮流呢?為什麼你要被迫使用你不熟悉,而且有時候甚至是過時的作業系統呢?為什麼你需要第二部筆記型電腦,有時還是又舊又重的那種?當你原有的手機就可以收發e-mail時,為什麼你還需要另一支操作方式不同的手機,或是一部BlackBerry?或是專門用來收發公司e-mail的第二部BlackBerry?為什麼不能直接用你手上的酷玩意就好?
越來越多的公司開始讓你這樣做。他們提供補助讓你選購任何你想要的筆記型電腦,並且不管你選甚麼樣的設備都能連進公司網路。他們允許你使用任何你既有的手機,任何可以收發e-mail的可攜裝置,凡是能夠讓你完成工作的個人需求,他們都接受,只是這會兒心驚膽跳的是公司資訊安全部門。
這也真的不能怪他們,當你擁有有硬體、作業系統及軟體的控制權時,維護資訊安全就夠困難的了。失去上述任何一樣的控制權,困難指數更是激增。你如何確認員工的設備是安全的,而且都已套用最新的安全性修正?你怎麼知道這些裝置上發生過什麼事,又如何控制?當這些裝置發生問題時,要怎麼處理技術支援相關議題?你又怎麼管理這後勤支援的夢魘?堅定地說「不!」會是比較好的解決方式。
但是安全性考量在這場爭論中節節敗退,這點越早被意識到越好。
在此,消費端化是最主要的趨勢:新奇的科技產品最先出現在消費者市場,而非商業市場中。每家企業都感受到來自於其雇員的壓力:員工希望公司能夠允許他們使用這些新技術來工作,而這股壓力持續增強中。年輕一點的員工根本不會願意使用去年的產品,他們不會想要帶著第二部筆記型電腦跑來跑去`他們不是想辦法繞過公司的安全管理規則,就是打算換一家比較時髦的公司,而不管是哪種狀況,公司高層都會在安全上讓步。推動改變的,甚至可能是想用新買的iPad來連接公司資料庫的CEO。無論哪種方式,想要說不越來越困難了。
同時,雲端運算使得這些情況更容易發生了。越來越多的員工電腦運算設備僅僅只是配備瀏覽器介面的終端機。當公司的e-mail都變成webmail、文件都放在GoogleDocs、所有的專業應用程式都有web化介面,允許員工使用最新流行的瀏覽器將更為容易。這也是公司與他們的夥伴、供應商與客戶已經在做的事情。
在此同時,雲端計算讓請況變得簡單了一些。越來越多員工使用的計算設備不過是有網頁瀏覽器介面的簡易終端裝置。當所有企業e-mail都是webmail,企業文件都以GoogleDocs形式存在,當所有專門的應用程式都有網頁介面時,要允許員工使用最新的瀏覽器就容易多了。這是公司行號與他們的商業夥伴、供應商和客戶正一起著手的方向。
科技公司也察覺到這個方向並成為推動趨勢的正面力量:從Microsoft、Cisco到新創公司,都有推出安全解決方案。如同其他的所有事情一樣,這是個大雜燴:有些方法行得通,有些不能;其中大部分的解決方式都需要細心地設置才能運良好,而只有少數能夠把事情做對。結果會像是往常一樣,得過且過。
安全性始終是權衡利弊下的取捨,而安全決策時常取決於非安全性的理由。在此案例中,正確的抉擇是犧牲安全性換取方便與彈性。公司企業希望自己的員工能夠在任何地方工作,為了達成這個目標,他們需要鬆綁對使用工具的限制。
Source webpage: http://www.schneier.com/crypto-gram-1009.html
Leave a Reply