在過去的幾個月里，我聽到很多首席信息安全官抱怨說，隨著大量消費者技術——如社交、視頻、移動和云計算——的快速商用，他們的工作變得越來越困難。

　　這些新技術帶來了新的風險，但是因為從商業產品角度來看它們的價值巨大，所以首席信息安全官們沒有能力阻止它們的使用。這是一個巨大的浪潮，正如Forrester Research的新書《Empowered》描繪的那樣。而且毋庸置疑的是，這個浪潮正在加速。事實上，Forrester最近的調查顯示，近40%的不同公司的信息領域工作者使用了某種形式的“自置備”(self-provisioned)技術。此外，四分之一的公司已準備使用某種形式的云計算，半數企業(Forrester定義的雇員超過1000的公司)已經支持至少兩種移動平臺。

　　新技術的采用速度如此之快，使得安全和風險成為首要問題。我聽到過這樣的詢問，如：“在這些技術被快速采用的情況下，我們如何保障我們的信息安全?”以及“我們應如何應對由社交網絡、移動平臺和云計算等技術帶來的風險?”IT安全的挑戰是解決不同的技術所引起的問題，管理隨之而來的風險，并最終幫助重塑公司的未來。

　　一個看不見的好處是，這樣的技術革新浪潮給了企業重新制定安全策略的機會。想想這一點：公司數據保存在云中，移動設備正逐漸替代傳統的個人電腦，而社交技術則實現了人們隨時隨地的臨時協作。維持現狀的做法根本不會阻礙趨勢的發展。如果需要時機來重新審視已有的安全模型的話，那么現在就是時候了。

　　為了幫助企業開發新的經營模式、以伙伴和支持者的角色成為創新的支點，安全部門的領導人應該檢查他們的安全架構，確保它適合“授權(empowered)”環境。例如，在一個以數據為中心的安全模型中，安全保護應著重于數據本身，而不是僅僅依靠基礎設施的安全性。此外，應用程序內部應有安全防御措施，因為現代的威脅幾乎都集中在應用層。這種策略對安全軟件、數據感知(data-aware)應用控制，以及直接內嵌在程序內部的威脅防御技術等有重大的價值。最后，系統應該具有靈活性，是“可承受攻擊的”(attack-tolerant)。這里最重要的想法是這個系統在發生安全事件時不會放棄控制權，也不會崩潰。新的安全模型需要這種“可承受攻擊的”平臺作為建立能夠抵御未來風險的系統的基礎。

　　根據上述原則重新設計安全體系，不僅提供了防御威脅的機會，還帶來了控制、處理和架構方面的根本性改變，這會令企業計算的環境更加安全。

　　為了能夠抓住機會、抵御這些即將發生的風險，Forrester為安全和風險抵御從業人員建立了最佳的企業安全實踐方法：

　　發起或參與核心的管理工作小組。一個理想的工作小組的人員組成應包括安全、企業架構、法律法規、人力資源以及主要業務部門的代表等方面的成員。

　　幫助建立采用新技術的準則。工作小組的目標是建立一系列的新技術采用標準。該標準應包括技術平臺、風險承受等級以及新技術使用條件等。比如，要外包云計算系統，那么工作小組的任務就是定義一個云技術安全檢查列表，供企業評估安全性成熟度以及云技術供應商的準備情況。工作小組的作用并不是要對新技術的采用持批評態度。相反，工作小組的任務是創建一系列標準和風險評估工具，以便企業用于新技術采用決策。

　　定義一套可接受的使用政策或指導。以標準雇員指導規定開始，但是還要制定具體的規定，管理新技術——如社交媒體和移動設備——的使用。每一項規定對應于每一項新技術平臺的風險。例如，知道如何回應網上的負面評論對社交媒體的溝通是很重要的。

　　與公司內部的通信或市場部門合作，對員工進行培訓。對首席信息安全官們來說，與員工溝通新技術采用標準和可接受的使用政策是很重要的。最有效的渠道是是已有的內部通訊/市場部門。如果企業沒有這樣職責鮮明的部門，那么可以和人力資源或員工培訓部門合作。

　　確定執行策略并實施技術。建議工作小組是否通過技術手段發揮監管作用是很有必要的。如果企業決定要監管，首席信息安全官必須根據需要確定涉及的技術并實現它們。在選擇特定的技術之前，需要確定監控/管理的對象是什么，誰來實施監控以及具體的執行步驟。

　　誠然，如巨浪般涌來的技術(社交、云、視頻、移動)帶來了特殊的風險。而IT安全人員的工作就是幫助企業理解這些風險是什么，以及如何防御這些風險。記住，正如企業是為了更好地服務它們的客戶一樣，IT安全也需要更好地為企業服務。但這并不意味著對企業的要求有求必應，而是在不影響安全要求的前提下，調整安全策略以便和企業的需求保持一致。如果相信企業的話，安全和風險專家能夠做到這點，他們在這里面的角色是審核，而不是執行。