保障企业安全的挑战与解决方案

主要重点

• 安全团队的工作常常不受重视，但一旦发生数据泄露，安全团队便成为替罪羊。
• 企业需要制定灵活的安全政策以平衡安全与生产力。
• 有效的沟通和合作是企业成功的关键。

在现今数位时代，企业的安全专业人士面临著感恩不报的挑战。他们的责任常常在网路安全计划运行顺利时被忽视，但一旦发生数据泄露，却会立刻受到责备。因此，许多首席资讯安全官（CISOs）选择禁止或限制使用云端工具和SaaS应用，担心员工不小心泄露敏感数据。这样的做法导致安全团队遭受误解，而其他业务部门则失去了促进合作和提高生产力的工具。

目前，CISOs在云端工具方面的担忧非常合理。根据我们对超过500万个GoogleDrive档案的扫描，发现有40%的档案中包含、客户个人识别信息（PII）、安全凭证和机密公司信息。但是，安全团队需要比零容忍政策更灵活的选择，而不仅仅是制定出严格对立的政策让安全团队与组织其余部分对立。这样的情况常会让安全领导者成为”坏人”，而他们的目的是为了保护企业。

如何保护公司的敏感数据？

寻找安全团队与其他员工的共同利益

大多数员工并不是出于恶意行为。安全团队不是为了阻碍生产力和合作，而其他部门的员工也并非故意分享敏感数据给不法者。事实上，很多员工甚至意识不到自己上传了脆弱的信息，而信用卡号、个人识别信息以及登录凭证，经常在流行的工作管理应用中存储，许多违规行为在其实施时并不被发现。

要记住的是，大多数同事的目标都是推进企业的业务。他们希望使用能让工作更快、更高效的工具，而不是有意识地将敏感数据暴露于风险之中。他们只想完成自己的工作。

要使网络安全计划成功运行，安全团队与支持其业务单元之间必须建立信任。双方需要认识到，最佳的结果出现在合作而非对抗的情况下。这需要对网络安全举措及维护安全的政策进行开放透明的对话。

企业还需实施能够支持更灵活的网络安全政策的安全产品。这并不意味著采取“随便行动”的态度，让员工在没有适当保护措施的情况下下载工作应用。幸运的是，现在有有效的选择可以促进安全团队与其他部门之间的共同理解。

拥抱SaaS应用的同时保障网络安全

如今，许多企业的运作依赖于云端应用。预算有限的初创公司尤其容易实施SaaS应用，而没有经过安全团队的监督，通常安全团队仅由一人组成。研究表明，平均公司使用超过250个SaaS应用，但超过一半的应用并不由IT团队拥有或管理。

没有适当的监督，未经监控的云端应用可能成为巨大的网络安全风险。然而，对应用进行严厉打击只会损害公司进一步发展的潜力，抑制生产力并限制进步。而且，对所有SaaS应用都说不也将导致对安全团队的漠不关心、不信任和反感。特别是当大多数安全团队已经人手不足时，期待企业增加人