随着企业开始使用社交媒体网站,安全威胁正在发生变化。Forsythe、Info-Tech和nCircle的安全专家就如何调整以适应新的风险发表了意见。
一位咨询师表示,社交媒体正在改写IT安全规则,并改变企业安全官员的工作。
伊利诺伊州斯科基(Skokie)的管理安全顾问杰夫•西兹莫尔(Jeff Sizemore)表示:“社交媒体目前对我们这个行业来说是相当大的挑战。”总部位于美国的Forsythe Solutions Group Inc.。“对社交媒体网站采取主动的安全方式是很难的,相对于对日志文件做出反应和读取……先发制人、限制数据限制要容易得多,比如在电子邮件中。”
西斯莫尔说,社交媒体网站“非常复杂,因为它们包装得很好”。“这是非常棘手的,因为你必须设法允许用户使用网站,但不能访问网站的特定部分,”他说。
这些网站无法被很好地追踪,而且可能包含市场上许多安全技术都无法追踪的漏洞。Sizemore说,许多企业技术,从网络过滤到传统防火墙到网络安全设备,都不足以应对这些挑战。
他说:“你必须在机器上有足够智能的东西,能够理解该网站中有一个应用程序,而现在很多防火墙都无法做到这一点,许多典型的终端解决方案也无法做到这一点。”
他说,首先要做的是教育员工。他说:“你必须开始教育员工如何从隐私(和)保密的角度,以一种安全的方式积极使用它,而不是一个特定的项目或特定的应用。”
他说,员工必须了解什么是机密数据,这样当他们在这些网站上时,就能了解他们所做事情的后果。“在今天的社交媒体中,很多这样的工具都非常不成熟,但一旦我们修复了这个社交媒体网站,就会有另一个……在某个时候,你必须开始对用户进行再培训。”
“社交媒体的风险在于信息的泄露,”伦敦信息技术研究集团有限公司的首席分析师詹姆斯奎恩(James Quin)说。
传统的风险是人们从组织中提取数据,通常是通过非法侵入网络窃取信息,而社交媒体则是一个推动问题。他还说,由于许多社交媒体都是即时创建的,组织机构不一定会审查这些材料。
他说:“他们没有时间通过积极审查发布的内容来确保不应该被泄露的信息没有被泄露,所以风险是,员工要么是恶意的,要么是意外地分享了他们不应该分享的信息。”
早期的技术应对措施是屏蔽社交媒体,并设置相应的工具,禁止网络上的此类流量。奎恩表示,许多组织仍在这样做。但越来越多的组织开始将社交媒体用于商业目的,为了做到这一点,他们必须开放社交网络,他说。
Quin说,在信息技术领域,越来越多的组织开始采取技术措施来保护自己不受社交媒体风险的影响。他表示,这些措施包括对员工行为实施技术控制,比如使用内容监控技术来监视和控制通过社交媒体渠道发生的事情。
奎恩说,在制定社交媒体政策时,需要采取一些步骤。首先,确定你的商业模式中是否真的需要社交媒体。弄清楚这是不是你应该做的事情。如果因为没有实际需要而不应该服用,那就禁止它,因为风险很大。”
他说,如果你得出需要社交媒体的结论,那么下一步就是确定谁需要使用它。“在可能的情况下,把它的使用限制在那些人,”奎因说。他说,第三步是确保你采取了技术控制措施,比如数据泄漏保护,它将监控信息流,以确保不适当的信息不会被泄露。
nCircle公司安全运营总监安德鲁·斯图斯表示,社交媒体给企业带来了两大威胁——钓鱼攻击和知识产权泄露。
如今,大多数科技工作者都将工作和个人生活融为一体,这意味着他们可能会在工作时花一些时间在社交媒体网站上,在空闲时间在家做一些工作。他说,工作和个人生活的结合使得员工在考虑如何在工作中使用社交媒体时更加困难。
斯风暴说:“目前最好的办法就是接受并超越它。他说,为了取得进展,它必须“理解和认识到这样一个事实,即这些事情一直在发生,每个人都在参与”,并决定通过组织内部的公开对话来解决这个问题。
其中一种方法是在年度安全意识培训需求中添加社交媒体组件,Storms建议。“站出来说,‘我们认识到人们在工作中使用电脑作为个人社交媒体。让我们帮助你理解以安全和理智的方式使用它意味着什么,”他说。
他说:“如果你真的希望政策得到实施和遵守,你就需要走出你的办公隔间,去和人们谈谈,因为让我们面对现实吧:你不可能阻止一切。”
在Twitter上关注我@jenniferkavur。
这个故事,“社会媒体与企业安全不是朋友”最初发表ComputerWorld-Canada 。