Кевин О'Брайен в настоящее время возглавляет маркетинг товаров для продавца безопасности облака CloudLock и был частью сообщества безопасности больше десятилетия. Он внес эту статью в Опытные Голоса BusinessNewsDaily: Страница публицистики & Понимание.
Центральная людьми безопасность появилась на моем радаре в 2012, когда Том Шолц, вице-президент исследования в Gartner (с вниманием на тенденции безопасности), представил идею на симпозиуме компании.
Короче говоря, понятие - то, что сотрудники возьмут на себя больше ответственности за свои данные, когда компания минимизирует управляемые IT средства управления и стандарты безопасности. Другими словами, эффективная безопасность увеличивается в отсутствие властной политики.
Это кажется диковинным, не так ли?
Это должно. Scholtz вводил идею уменьшить меры обеспечения безопасности, чтобы сделать окружающую среду больше как часть Независимой Программы исследований Гартнера, которая не является родиной типично уравновешенного, безопасного, самоочевидного содержания аналитика. Гартнер описывает программу, как являющуюся "чем-то другим с миссией, сосредоточенной на "сценариях будущего высокого воздействия, которые помогают [клиенты] думать по-другому, чтобы раскрыть возможность и позволить инновации". В результате большая часть исследования, выполненного под его баннером, существует только на мгновение, собственно говоря. Тенденции отклоняются так часто, как они обсуждены, и даже когда прогноз получает свое право, хорошую сумму того, что предсказано, получен как интересная идея, что промышленность в целом не готова принять.
Такова не была судьба для представления Шолца. В Барселоне месяц назад, он вместо этого подробно остановился на теме, таща доказательства от социологов, транспортных планировщиков и больше чем полдюжины крупных компаний, которые начали реализовывать идеи, которые он покрывал год назад. "Центральная людьми безопасность", кажется, пережила свое младенчество, и в то время как это еще может не быть широко распространено, это и жизнеспособное и достойное второго взгляда.
Почему? Проще говоря, в то время как принятие платформ облачных вычислений продолжает ускоряться, Гартнер предсказывает, что расходы безопасности облака увеличатся также, достигнув $4.2 миллиардов к 2016. Это ставит экзистенциальный вопрос о том, что будет содержать тот рынок и как он ответит на риск.
Один подход сосредотачивается на создании экосистемы, базируемой вокруг tokenization и шифрования, изображая риск как что-то существенно внешнее. Альтернативный подход полагает, что риск существенно связан с силами, ведущими кривую роста в облачных вычислениях в целом: пользовательская настойчивость на мобильном доступе к данным, объединенном с социальными и совместными инструментами, которые помогают сотрудникам работать эффективнее. Другими словами, это подчеркивает угрозу посвященного лица, не риск внешнего актера.
Как непосредственный участник за прошлые 15 лет событий безопасности предприятия, я думаю, что область достигла точки перегиба в ответе на тот вопрос; решения господствующего Fortune 500, который определит CIOs, директора по ИТ-безопасности (Директора по ИТ-безопасности) и эксперты по кибербезопасности за следующие 12 месяцев, как быстро промышленность достигает той точки, и делают ли сообщество безопасности или его конечные пользователи выбор.
Почему центральная людьми безопасность имеет смысл
"Почему бы не хлестать учителя, когда ученик неправильно себя ведет?" — Диоген из Sinope
Безопасность IT - обязательно реактивное искусство. Традиционно, это было построено на двух столбах: шифрование данных и в большой степени отрегулированный доступ к данным.
Исторически, взгляды состояли в том, что пользователи - векторы для риска, и статистические данные, чтобы поддержать то представление легко доступные: Согласно Пойми tон государство of Защита информации aбез обозначения даты Частная жизнь: 2013 тo 2014"" Хайди Схей, исследование провело и выпущенный для Forrester в этом году, "непреднамеренное неправильное употребление данных от посвященных лиц стоит первым в списке причин нарушения в 2013, ответственный за 36 процентов замеченных нарушений".
То, что можно было бы назвать "классическими взглядами безопасности", предположит, что проблема состоит в том, что пользователи - ненадежные актеры, принимая плохие решения для самовыгоды, лишенной соображения для организации или ее потребности в безопасности. Ясно, правильная реакция здесь состоит в том, чтобы захватить вниз, что могут сделать те пользователи, наложение навсегда управляет и контролируя инструменты, чтобы гарантировать, что способность этих пользователей причинить вред содержится, если не устраненный. В облаке это часто означает tokenization, посредством чего организация устраняет противную проблему жилищных данных во внешне принятых серверах, сохраняя данные на предпосылке, или по крайней мере под контролем за IT снова, с только зашифрованными данными "об указателе" сохраненными внешним поставщиком платформы. [5 Лучших Основанных на облачных вычислениях Приложений для Бизнеса]
В действительности это приводит к окружающей среде, в которой может произойти следующего: (a) становится невозможно использовать платформу вообще, такой, как будто ключи к незашифрованным "реальным" данным испорчены или потеряны; (b) окружающая среда полно отверстий как новые приложения, и механизмы для доступа к приложениям появляются, и пользователи находят способы обойти tokenization решение; или (c), все пользовательские действия имеют место "подполье", где сотрудники могут и будут все еще разделять уязвимые данные, но будет делать так в неофициальных приложениях потребительского сорта, которые отобраны, потому что они не подвергаются контролю предприятия.
Проблема кажется тяжелой. Это не.
Офицеры охраны любой организации, которая берет безопасность серьезно, должны думать об и управлять риском полностью, и не просто возвратиться к тому, что они знают. В сущности есть две причины, почему решениями, такими как tokenization является бедное средство от того, что это беспокоит современную, позволенную облаком компанию. Первое тактическое, и второе философское.
Тактическая причина об отношениях стоимости для выгоды. Уровень усилия должным образом зашифровать и разметить данные отличный от нуля; в то время как есть продавцы, которые специализируются на предложении этого типа обслуживания, они помещают бремя управления его внедрением и продолжающимся использованием назад на IT или информационной службе безопасности на сайте клиента. В то время как это может оправдать бюджет IT, требуемая работа представляет крупную пустую трату времени и деньги, непропорциональные снижению расходов, понятому, идя в облако во-первых.
Другими словами, это основано на страхе, а не данных. Некоторые туманный "другой" предполагаются, а не (доказанное) посвященное лицо, которое склонно случайно сверхразделить или воплотить что-то и вызвать нарушение данных. Правда - то, что, в то время как риск постороннего реальный, большинство нарушений данных вызвано пользователями, пытающимися сделать их работу — "98 процентов" в словах Шолца, кто не преступники, а скорее сотрудники, использующие технологию в их распоряжении, чтобы сделать то, что им задают работу с выполнением.
Это приводит к второй, философской проблеме. Есть простая причина, почему неправильно попытаться к данным строгой изоляции и провести в жизнь как можно больше средств управления: у Людей есть тенденция действовать способами, которые отражают контекст и окружающую среду, в которой они оказываются. Рассматривай своих сотрудников и пользователей как преступники, и они будут вести себя соответственно, находя способы обойти тебя. Рассматривай их как чрезвычайно хороших и заслуживающих доверия, и они будут действовать тот путь.
Центральный людьми подход
Это все приводит к более разумной альтернативе (довольно громоздкой) модели, обрисованной в общих чертах выше. Шолц видит, что организации начинают принимать основное понятие, что люди должны быть ответственны за свои действия. Но вместо того, чтобы наложить новые средства управления, которые пытаются составлять каждое возможное нарушение, IT должен уменьшить, сколько существуют такие правила. Как это ни парадоксально это приводит к чистому увеличению организационной безопасности.
Средства управления, где они существуют, должны быть разработаны, чтобы повторно добиться риска, не заблокировать его.
Это, кажется, правда, которая превышает безопасность программного обеспечения. Возьми, например, Эшфорд, Кент, в Англии. Как Financial Times сообщила в середине 2011, "Эшфорд вел так называемую схему 'общей области' на своей оживленной кольцевой дороге, удаляя почти всю улицу [знаки] и уделяя первостепенное значение не транспортным средствам, велосипедистам или пешеходам".
Результат? Никакие смертельные случаи, несмотря на больше чем 10,000 автомобилей, которые ежедневно используют пространство; 76-процентное уменьшение в несчастных случаях, самым серьезным из которых была сломанная лодыжка; и послужной список, который копировался во многих странах по всей Европе. Идея востребована в своей простоте. Scholtz ссылается на него в его представлениях, и как все хорошие истории, его мораль бесспорная.
Кому это нужно?
"Хуже лучше". — Ричард П. Габриэль, разработчик программного обеспечения приписывал с созданием "философской школы" стиля Нью-Джерси, которая утверждает, что меньше ("хуже") функциональности является предпочтительным выбором ("лучше") с точки зрения практичности и удобства использования.
Существенный момент - это: Или специалисты по безопасности найдут способы быть релевантными в постконтроле, центральная людьми модель в чем, они стимулируют деловые полезные действия, или они опровергнут парадигму до нее или их, сделаны не важными. Разногласия против роста платформ облака долгие: Снижение расходов, подвижность рабочего и эффективность и различные рынки приложения, которые возникли, чтобы удовлетворить потребности этих новых трудовых ресурсов, являются влиятельными силами.
Однако изменение может быть пугающим, и число продавцов, обещающих возвратить корпоративные данные к дорогому, часто нарушенному, и твердые, чтобы управлять системами на предпосылке растут. Также рост, однако, является числом поставщиков, которые охватывают идеи Шолца, стремясь к ответственности вместо запрета, веры в совершенство людей, а не врожденного преступного намерения и ответа "доверять-но-проверять", чтобы рискнуть вместо командного пункта. То, чего требует этот подход, является готовностью изменить роль IT и отношений между пользователями и их данными и адаптируемостью, чтобы позволить эффективности стимулировать ту связь, а не безопасность.
Обратись к своим продавцам и пэрам в 2014. Они предлагают видение, которое признает, что правила изменились, или они изо всех сил пытаются найти способ сохранять более старые идеи релевантными несмотря на то изменение? Если Scholtz будет правильным, и я полагаю, что он, то это изменение произойдет. То, на что могут влиять те из нас в промышленности безопасности, - когда, как и является ли это изменением, которым мы управляем, или тот, который управляет нами.
Выраженное мнение является теми из автора и не обязательно отражает взгляды издателя. Эта версия статьи была первоначально издана на BusinessNewsDaily.