【专家建议】如何减轻新兴技术带来的安全隐患

新兴技术如物联网、机器人流程自动化、区块链、3D和4D打印，以及认知计算，为那些大胆实施这些技术的企业提供了巨大的竞争优势。 然而，它们也带来了新的安全风险，包括已知的和未知的。

高管们面临一个困难的选择：利用新技术来获得竞争优势，同时会增加新的安全风险，或者暂缓实施，直到新兴技术的风险得以解决，但在市场上处于落后。 这些因素对于确保IT基础架构安全和企业数据免受网络威胁这项已经极具挑战的工作而言，又增加了更多的复杂性。

Bain&Co.的网络安全方案的负责人Frank Ford说：“新技术具有独特的新挑战，但这些新的解决方案并不都是强大的，适合企业的。” Ford表示，高管会询问他们的网络安全措施是否符合新兴技术挑战。许多企业并不符合。但是，他们可以采取一些措施来提高他们的安全级别。 他概述了他认为对减轻新兴技术带来的安全风险至关重要的三项最佳方案。

·首先，高管必须确保他们现有的信息风险管理战略是坚固的。他说：“如果今天不够坚固，随着越来越多的新技术引入环境，情况只会越来越糟糕。”

·第二，企业必须雇佣擅长识别和减轻新兴技术中安全风险的安全人员，而不是将安全性视为事后想法。他说：“企业所面临的一个问题是，业务部门投入资金，开始投入新的技术；开始实施以后，他们找到安全部门，进行验证，在这种情况下，安全部门要完成工作要更困难。”

·第三，企业应充分准备应对新兴技术中的安全隐患。 Ford说：“IT部门往往倾向于风险规避，而对于新技术而言，IT部门的警惕是非常明智的。” IT和安全团队应该在了解新技术架构上进行投资，对供应商的销售主张持怀疑态度，并自行测试新技术。他补充说：“要将现有的理解彻底的应用到新的环境中，你需要测试并确保它足够稳定。”

减轻安全风险：分层的方法

贝克学院的IT副总裁Patty Patria，精通有关减轻与新兴技术风险相关的安全风险的协议。她看到了新技术的蓬勃发展，并准备应对新技术的涌入。 “如果明天有新技术，可以大幅度改善业务，我们制定了政策和协议来对其进行评估，以便立即对其进行设置，我们可以快速评估并确定在最小或最大安全风险的情况下，它是否能够正常运行，我们可以基于结果提出建议，“Patria说。

对于Patria来说，要确保有保护层，来应对新兴技术的已知安全风险，以及尚未确定的任何潜在威胁。 例如，该学院针对物联网的安全风险的方法，因为它将越来越多的设备添加到学校的IT基础设施。

在任何设备连接之前，Patria需要确保几个安全功能：它们包括安全启动，因此在启动过程中不会被劫持；安全远程固件更新，因此供应商可以对设备软件进行安全更新；以及安全通信协议。

此外，如果设备存储敏感数据，则设备必须对该数据进行加密。她还说，它还必须具有强大的用户验证和管理员协议。 Patria说，对物联网的这些要求是学院其他现有安全措施的补充，例如将学生网络与存储敏感数据的员工网络隔离开来。 她解释说，她在确定和减轻新兴技术的安全风险方面的做法并不侧重于调查新技术可能引入的每一个潜在的威胁，而是侧重于尽可能多地防范整个威胁。

她表示：“如果你有正确的政策、流程和技术，以确保你的安全状态，那么这将有助于评估任何新技术，并确定如何将其安全地集成到你的环境中。

权衡风险与收益

虽然像Patria这样的IT领导者制定了一项减轻新兴技术带来的安全风险的战略，但许多执行团队仍然在努力评估他们在网络安全方面的情况，Bain＆Co.的Ford表示，部分是因为没有综合基准。

Ford表示，Bain提供了一种评估网络安全的方法，涵盖四大类别——治理、流程、技术和企业——每个子类别下包含多达100项考虑因素。 Ford说，以这种整体方式实现网络安全的好处，是能够开发有针对性的投资，最有效地解决企业的风险，并最终实现更好的安全状态，即使实施新的和未经测试的技术。

他说：“能够完成这些事情的企业，比那些不完成的企业，更容易成功，” 他补充说，“这听起来可能并不难，但是正确完成，对企业是一个挑战。” 马里兰大学研究生院，网络安全技术项目的主席Mansur Hasib认为，企业需要全面思考网络安全问题，而不仅仅是单独的考虑一种新兴的技术（或者任何技术）。

前CIO Hasib表示，他建议企业将其视为数字化战略。 在这方面，他表示高管需要考虑与新技术相关的收益和风险，并权衡其相互影响。 Hasib将实施技术与驾驶汽车进行了比较：它们都提供优势，同时带来风险，通过内置安全功能和安全环境（即汽车行驶的道路和相关法律），以减轻危险。

继续这个比喻，Hasib指出，没有人会在不考虑驾驶汽车的优点或推动安全驾驶的人，政策和流程时，考虑驾驶汽车的可能风险。 同样，他表示，高管不应该以孤立的方式，来考虑新兴技术的风险。 安全，技术和业务部门相一致，共同制定战略的企业能够更好地评估新兴技术的风险，权衡这些风险和潜在利益，并对合适的安全措施进行必要的投资。