当前位置:CIO技术探讨 → 正文

安全与创新:IT部门需要平衡的一件最棘手的工作

责任编辑:cres 作者:Bob Violino |来源:企业网D1Net  2020-02-19 10:09:29 原创文章 企业网D1Net

创新举措只有在保证安全的情况下才算成功。下面将介绍首席信息官们如何在承担风险与规避风险之间维持平衡。
 
乍一看,网络安全措施的部署和对创新的追求似乎是相互排斥的。增强安全性的策略旨在降低风险,而创新工作则要求对风险持开放态度。
 
但企业正在寻找方法来启动创新性的和全新的数字业务计划,同时采取措施来保护数据和其他IT资产。这样一来,即使他们加强了安全性要求,对系统和数据进行了保护,以及遵守了相关法规,但他们仍在开启一些新的营收方式,改善了客户体验和增加了在新市场中的机遇。
 
毕竟,这是当今商业环境中取得成功的秘诀:推动实施变革性举措,采用云、移动技术、人工智能、数据分析和物联网等创新技术,以确保有价值的系统和数据的安全性得到保障。
 
为此,如今的企业需要找到各种方法以达到一种平衡,既要在竞争中走在前列,又要尝试新技术,还要将概念验证投入生产中等等工作,同时还要采用更多规避风险的做法来确保这些举措是安全的。
 
在某些情况下,这可能涉及到为所有系统的安全性增加预算和资源;在另一些情况下,这可能意味着要留出预算和资源以确保开展纯粹的创新工作。无论哪种情况,其目标都是创新,但要以一种安全、合理的方式进行。
 
以下提供了一些示例,以说明企业如何针对特定项目或作为常规做法来平衡创新与安全性。
 
部署新的在线服务,同时确保数据安全
 
高等教育机构需要关注于对《家庭教育权利和隐私法案(FERPA)》的遵守情况,该法案旨在保护学生数据的隐私。
 
“尽管合规性长期以来一直是一项首要工作,但传统的本地学生信息系统和数据通常被存储在这些系统和文件中,很少有人担心外界会获取这些信息,”宾夕法尼亚州印第安纳大学(IUP)首席信息官比尔•巴林特(Bill Balint)说道。
 
巴林特说:“但随着基于网络来访问一些安全系统的出现,大规模安全漏洞和数据泄露的潜在风险使遵守《家庭教育权利和隐私法案》成为当务之急。”
 
巴林特表示,随着高等教育已经转变为更商业化运作,这个问题已经升级。他说:“努力实现招生和成功完成学生学业目标的教育机构已经越来越多地转向在客户关系管理和数据分析解决方案等领域中基于云端的快速实施服务。”
 
宾夕法尼亚州印第安纳大学正在通过基于云的订阅服务来使用这些技术,而这也让该大学可提供一些创新性的服务,例如帮助创建一些更好的、个性化的大学助学金和定制化的学业分析,从而有助于吸引并留住学习优秀的学生。
 
巴林特说:“但是为了做到这一点,供应商通常还会要求将有关学生的许多敏感学业和/或财务信息导入供应商管理的云应用程序中。”“而这些操作使教育机构失去了对安全性的控制。相反,教育机构还常常必须“接受供应商的合同规定”,即敏感数据要在传输和存储状态下确保安全。”
 
为了确保不泄漏敏感数据,宾夕法尼亚州印第安纳大学采取的第一步是考虑云端服务存在的安全与隐私隐患,并且仅共享与某一工具功能相关的核心数据。
 
巴林特说:“例如,某一供应商的工作侧重于学生学业是否优秀,那么与其共享成绩信息就非常重要。”“但与其共享社会安全号码就没有任何意义,也不应共享。”
 
除此之外,宾夕法尼亚州印第安纳大学还要求与之合作的所有云供应商都要通过签订正式的合同和服务水平协议(SLA)以符合数据隐私和安全性的行业标准。
 
巴林特说:“很少有高等教育机构能够在其内部拥有专业知识来提供这些供应商所具有的功能,但这些供应商提供的服务对许多教育机构的生存越来越重要。” “教育行业必须继续发展出自身的最佳做法,以保护敏感和机密数据。”
 
在新的移动应用程序中增加安全性
 
在2019年末,科罗拉多州宣布在myColorado移动应用程序中推出“科罗拉多数字身份证”,以改变居民与州政府之间的互动方式。该myColorado应用程序的愿景是为该州居民提供一种创新的、安全的和便捷的移动解决方案,使他们可以凭数字身份与政府服务建立联系。
 
“我们的目标是通过一个中央移动平台将本州居民与各项服务联系起来,从而使他们更容易与州政府之间办理业务,例如更新驾照,”科罗拉多州首席信息安全官黛博拉•布莱斯(Deborah Blyth)说。“这样就不需要前往州办公机构,从而节省了居民的时间和交通成本,并最终帮助实现客户的满意度。”
 
自去年10月公开推行以来,已超过30,000多名居民下载了myColorado应用程序。
 
布莱斯表示,州政府意识到,对于确保向居民提供的任何产品或服务被广泛使用,获取和维护来自公众的信任是至关重要的,而实现这一点的最佳途径是要确保安全性成为应用程序开发工作中的关键组成部分。
 
myColorado应用程序中的个人信息通过多重身份验证和数据加密进行保护,以保证该应用程序的隐私性和安全性。另外,myColorado应用程序在多个级别上进行用户身份验证、确认和联合身份验证,以确保该用户的身份,布莱斯说道。
 
“自myColorado应用程序还只是一个想法的时候,安全架构师就在应用程序设计团队中扮演着不可或缺的角色,”布莱斯说。“从该项目开始时,就需要验证移动用户的身份,以使该用户与该州系统中保存的相关信息匹配起来。”
 
其他需要考虑的因素包括确保通过适当的身份验证才允许访问用户的信息,以防止未经授权进行访问,以及评估和选择一个支付服务提供商以安全地处理各项付款。
 
开发团队进行了测试,以确保该移动应用程序和后端服务器不存在可能被利用的漏洞,从而导致敏感数据被泄漏。布莱斯表示,在开发过程中也采取了其他预防措施,以防止开发人员访问敏感数据。
 
布莱斯表示,myColorado应用程序安全功能成功部署的一个关键因素是,在设计和构建该应用程序过程中,所有安全要求都得到大家一致认可,然后通过一个迭代过程被整合到应用程序中。
 
她说:“让安全架构师作为创新团队中一个积极和平等参与者,这就确保了从项目一开始就建立起重要的安全标准,而并非在开发周期结束时简单地将其作为一个可选项。”
 
采用实验性方法进行IT创新
 
O.C. Tanner公司会为客户提供员工认同和奖励服务,该公司正在利用人工智能、3D打印和DevOps等新技术或方法来开展一些项目。在此过程中,该公司遵循一系列的做法,以确保数据和系统的安全,并且隐私权得到保护,同时又不会扼杀创新。
 
最重要的一点是将新的IT举措视为谨慎的科学实验。O.C. Tanner公司会使用自己现有的流程和工具进行小型的技术试验,而且这些工作与公司外部的实体是隔离开的。
 
“如果我们的某项实验有漏洞或产生了漏洞,则我们现有的流程应该会发现该漏洞,”高级副总裁兼首席信息官Niel Nickolaisen说。“但如果情况并非如此,则该漏洞也不会使我们其他系统处于危险之中。”
 
有时,某一漏洞可能导致公司取消该实验或想办法进行补救或绕过此问题。“在某一案例中,我们当时正在试验一项新技术,发现了一些问题,然后与(初创企业)提供商合作解决了这些问题,”Nickolaisen说。
 
Nickolaisen表示,由于实验会经过某些验证点,而这些验证点是随技术和实验类型不同而存在差异的,同时“因为我们拥有实验规模的生产价值标准,因此要求也变得更加严格”。“在我们的生产环境中发布任何东西之前,它必须符合我们的标准——这些标准包括安全性(和)隐私性。”
 
在一个案例中,O.C. Tanner公司相信自己拥有足够多的数据,可以为客户提供关于员工离职原因的一些见解。为了证明这一点,在必须保证客户员工数据安全的情况下,公司需要使用这些数据来构建基于云端的人工智能/机器学习算法。
 
Nickolaisen说:“从小处着手,我们对一部分客户数据进行匿名化,然后在云服务中进行了初步的概念验证。”“其结果令人鼓舞,我们觉得应该将工作继续推进。但在某些时候,我们会需要使用真实的而非匿名的数据。”
 
随着O.C. Tanner公司对实验规模的扩大,其还对可用的云端人工智能和机器学习服务的安全性和隐私流程进行了评估。“与此同时,我们与客户合作,这样他们也可以参与到我们对云提供商的安全性/隐私性实践的评估工作中,” Nickolaisen说道。“我们需要他们和我们一样对做出的选择感到满意。”
 
另一个示例涉及到公司正在使用的DevOps流程和工具。为了确保DevOps流程符合其安全标准,同时仍可以快速部署,O.C. Tanner公司希望创建一些自动化过程,这样新服务和功能的创建者仅能够自行部署那些预先批准的更改内容。
 
Nickolaisen说:“这需要使用我们所没有的功能或工具。”O.C. Tanner公司找到了一款这样的工具,但它来自一家刚起步的初创公司,因此存在一定的风险。他说:“我们对其工具进行了实验,以评估其功能。”“在该实验成功后,我们就开始应用自己的生产价值标准,然后发现了其产品中存在一些安全性和认证方面的缺陷。”
 
然后,O.C. Tanner公司与该公司进行合作,在该工具投入生产之前将这些问题解决掉。
 
优先考虑客户体验和数据保护
 
全球公共机构雇员保险(WAEPA)是一个团体定期人寿保险的提供商,其目标是超越竞争对手,超出普通联邦雇员和退休人员的预期,为他们提供服务。
 
“随着服务和数字工具的不断发展,全球公共机构雇员保险公司意识到需要转变和提升在用户体验中的每个平台和接触点,”首席信息官布兰登·琼斯(Brandon Jones)说道。
 
琼斯表示,拥有强大的数字化影响力是实现这一愿景的基础。为了增强其在线影响力,该组织首先进行了一项可用性研究,分析了客户数字化体验的当前状态,进行了可用性测试和用户访谈,然后对这些数据进行整合以找到在所收集到的信息中的趋势、模式和共性。
 
该项研究和分析工作为他们提高服务的可用性提供了可能,让全球公共机构雇员保险公司获得了一系列的研究结果和建议。
 
然后,全球公共机构雇员保险公司启动了一项“客户旅程分析工作”,以确定客户和潜在客户在交易过程中所经历的各个阶段,他们在每一步中期望得到什么,在每一步中都遇到什么问题,以及在每一步中他们的感受如何。
 
琼斯说:“这项工作让我们能够掌握会员们使用我们产品和服务的步骤,他们在这一过程中关联的其他内容,我们需要改进的空间以及应该合并或拆分哪些步骤。”“通过系统地绘制我们会员所经历的各个步骤,我们可将该项工作作为一个诊断工具。”
 
全球公共机构雇员保险公司开始利用之前在可用性研究和客户旅程图中的工作结果来建立一个新的网站和会员入口。该新网站的目标是更好地向用户介绍产品和申请流程;提高整个网站的一致性和易用性;提供自助服务工具和信息,以便于用户做出明智的决定;以及使客户体验“人性化”,帮助、指导在线用户,使其更安心。
 
在整个工作过程中,保护客户数据是首要考虑因素,同时安全性也已纳入到新网站和支持基础架构中。安全策略包括使用一些工具,例如冗余防火墙、虚拟专用网(VPN)、防止垃圾邮件和网络钓鱼,以及身份和访问管理等。
 
通过采取以上及其他措施,全球公共机构雇员保险公司可以为其客户营造更好的客户体验,同时提供了高度的安全性。
 
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。

关键字:CIOIT部门

原创文章 企业网D1Net

x 安全与创新:IT部门需要平衡的一件最棘手的工作 扫一扫
分享本文到朋友圈
当前位置:CIO技术探讨 → 正文

安全与创新:IT部门需要平衡的一件最棘手的工作

责任编辑:cres 作者:Bob Violino |来源:企业网D1Net  2020-02-19 10:09:29 原创文章 企业网D1Net

创新举措只有在保证安全的情况下才算成功。下面将介绍首席信息官们如何在承担风险与规避风险之间维持平衡。
 
乍一看,网络安全措施的部署和对创新的追求似乎是相互排斥的。增强安全性的策略旨在降低风险,而创新工作则要求对风险持开放态度。
 
但企业正在寻找方法来启动创新性的和全新的数字业务计划,同时采取措施来保护数据和其他IT资产。这样一来,即使他们加强了安全性要求,对系统和数据进行了保护,以及遵守了相关法规,但他们仍在开启一些新的营收方式,改善了客户体验和增加了在新市场中的机遇。
 
毕竟,这是当今商业环境中取得成功的秘诀:推动实施变革性举措,采用云、移动技术、人工智能、数据分析和物联网等创新技术,以确保有价值的系统和数据的安全性得到保障。
 
为此,如今的企业需要找到各种方法以达到一种平衡,既要在竞争中走在前列,又要尝试新技术,还要将概念验证投入生产中等等工作,同时还要采用更多规避风险的做法来确保这些举措是安全的。
 
在某些情况下,这可能涉及到为所有系统的安全性增加预算和资源;在另一些情况下,这可能意味着要留出预算和资源以确保开展纯粹的创新工作。无论哪种情况,其目标都是创新,但要以一种安全、合理的方式进行。
 
以下提供了一些示例,以说明企业如何针对特定项目或作为常规做法来平衡创新与安全性。
 
部署新的在线服务,同时确保数据安全
 
高等教育机构需要关注于对《家庭教育权利和隐私法案(FERPA)》的遵守情况,该法案旨在保护学生数据的隐私。
 
“尽管合规性长期以来一直是一项首要工作,但传统的本地学生信息系统和数据通常被存储在这些系统和文件中,很少有人担心外界会获取这些信息,”宾夕法尼亚州印第安纳大学(IUP)首席信息官比尔•巴林特(Bill Balint)说道。
 
巴林特说:“但随着基于网络来访问一些安全系统的出现,大规模安全漏洞和数据泄露的潜在风险使遵守《家庭教育权利和隐私法案》成为当务之急。”
 
巴林特表示,随着高等教育已经转变为更商业化运作,这个问题已经升级。他说:“努力实现招生和成功完成学生学业目标的教育机构已经越来越多地转向在客户关系管理和数据分析解决方案等领域中基于云端的快速实施服务。”
 
宾夕法尼亚州印第安纳大学正在通过基于云的订阅服务来使用这些技术,而这也让该大学可提供一些创新性的服务,例如帮助创建一些更好的、个性化的大学助学金和定制化的学业分析,从而有助于吸引并留住学习优秀的学生。
 
巴林特说:“但是为了做到这一点,供应商通常还会要求将有关学生的许多敏感学业和/或财务信息导入供应商管理的云应用程序中。”“而这些操作使教育机构失去了对安全性的控制。相反,教育机构还常常必须“接受供应商的合同规定”,即敏感数据要在传输和存储状态下确保安全。”
 
为了确保不泄漏敏感数据,宾夕法尼亚州印第安纳大学采取的第一步是考虑云端服务存在的安全与隐私隐患,并且仅共享与某一工具功能相关的核心数据。
 
巴林特说:“例如,某一供应商的工作侧重于学生学业是否优秀,那么与其共享成绩信息就非常重要。”“但与其共享社会安全号码就没有任何意义,也不应共享。”
 
除此之外,宾夕法尼亚州印第安纳大学还要求与之合作的所有云供应商都要通过签订正式的合同和服务水平协议(SLA)以符合数据隐私和安全性的行业标准。
 
巴林特说:“很少有高等教育机构能够在其内部拥有专业知识来提供这些供应商所具有的功能,但这些供应商提供的服务对许多教育机构的生存越来越重要。” “教育行业必须继续发展出自身的最佳做法,以保护敏感和机密数据。”
 
在新的移动应用程序中增加安全性
 
在2019年末,科罗拉多州宣布在myColorado移动应用程序中推出“科罗拉多数字身份证”,以改变居民与州政府之间的互动方式。该myColorado应用程序的愿景是为该州居民提供一种创新的、安全的和便捷的移动解决方案,使他们可以凭数字身份与政府服务建立联系。
 
“我们的目标是通过一个中央移动平台将本州居民与各项服务联系起来,从而使他们更容易与州政府之间办理业务,例如更新驾照,”科罗拉多州首席信息安全官黛博拉•布莱斯(Deborah Blyth)说。“这样就不需要前往州办公机构,从而节省了居民的时间和交通成本,并最终帮助实现客户的满意度。”
 
自去年10月公开推行以来,已超过30,000多名居民下载了myColorado应用程序。
 
布莱斯表示,州政府意识到,对于确保向居民提供的任何产品或服务被广泛使用,获取和维护来自公众的信任是至关重要的,而实现这一点的最佳途径是要确保安全性成为应用程序开发工作中的关键组成部分。
 
myColorado应用程序中的个人信息通过多重身份验证和数据加密进行保护,以保证该应用程序的隐私性和安全性。另外,myColorado应用程序在多个级别上进行用户身份验证、确认和联合身份验证,以确保该用户的身份,布莱斯说道。
 
“自myColorado应用程序还只是一个想法的时候,安全架构师就在应用程序设计团队中扮演着不可或缺的角色,”布莱斯说。“从该项目开始时,就需要验证移动用户的身份,以使该用户与该州系统中保存的相关信息匹配起来。”
 
其他需要考虑的因素包括确保通过适当的身份验证才允许访问用户的信息,以防止未经授权进行访问,以及评估和选择一个支付服务提供商以安全地处理各项付款。
 
开发团队进行了测试,以确保该移动应用程序和后端服务器不存在可能被利用的漏洞,从而导致敏感数据被泄漏。布莱斯表示,在开发过程中也采取了其他预防措施,以防止开发人员访问敏感数据。
 
布莱斯表示,myColorado应用程序安全功能成功部署的一个关键因素是,在设计和构建该应用程序过程中,所有安全要求都得到大家一致认可,然后通过一个迭代过程被整合到应用程序中。
 
她说:“让安全架构师作为创新团队中一个积极和平等参与者,这就确保了从项目一开始就建立起重要的安全标准,而并非在开发周期结束时简单地将其作为一个可选项。”
 
采用实验性方法进行IT创新
 
O.C. Tanner公司会为客户提供员工认同和奖励服务,该公司正在利用人工智能、3D打印和DevOps等新技术或方法来开展一些项目。在此过程中,该公司遵循一系列的做法,以确保数据和系统的安全,并且隐私权得到保护,同时又不会扼杀创新。
 
最重要的一点是将新的IT举措视为谨慎的科学实验。O.C. Tanner公司会使用自己现有的流程和工具进行小型的技术试验,而且这些工作与公司外部的实体是隔离开的。
 
“如果我们的某项实验有漏洞或产生了漏洞,则我们现有的流程应该会发现该漏洞,”高级副总裁兼首席信息官Niel Nickolaisen说。“但如果情况并非如此,则该漏洞也不会使我们其他系统处于危险之中。”
 
有时,某一漏洞可能导致公司取消该实验或想办法进行补救或绕过此问题。“在某一案例中,我们当时正在试验一项新技术,发现了一些问题,然后与(初创企业)提供商合作解决了这些问题,”Nickolaisen说。
 
Nickolaisen表示,由于实验会经过某些验证点,而这些验证点是随技术和实验类型不同而存在差异的,同时“因为我们拥有实验规模的生产价值标准,因此要求也变得更加严格”。“在我们的生产环境中发布任何东西之前,它必须符合我们的标准——这些标准包括安全性(和)隐私性。”
 
在一个案例中,O.C. Tanner公司相信自己拥有足够多的数据,可以为客户提供关于员工离职原因的一些见解。为了证明这一点,在必须保证客户员工数据安全的情况下,公司需要使用这些数据来构建基于云端的人工智能/机器学习算法。
 
Nickolaisen说:“从小处着手,我们对一部分客户数据进行匿名化,然后在云服务中进行了初步的概念验证。”“其结果令人鼓舞,我们觉得应该将工作继续推进。但在某些时候,我们会需要使用真实的而非匿名的数据。”
 
随着O.C. Tanner公司对实验规模的扩大,其还对可用的云端人工智能和机器学习服务的安全性和隐私流程进行了评估。“与此同时,我们与客户合作,这样他们也可以参与到我们对云提供商的安全性/隐私性实践的评估工作中,” Nickolaisen说道。“我们需要他们和我们一样对做出的选择感到满意。”
 
另一个示例涉及到公司正在使用的DevOps流程和工具。为了确保DevOps流程符合其安全标准,同时仍可以快速部署,O.C. Tanner公司希望创建一些自动化过程,这样新服务和功能的创建者仅能够自行部署那些预先批准的更改内容。
 
Nickolaisen说:“这需要使用我们所没有的功能或工具。”O.C. Tanner公司找到了一款这样的工具,但它来自一家刚起步的初创公司,因此存在一定的风险。他说:“我们对其工具进行了实验,以评估其功能。”“在该实验成功后,我们就开始应用自己的生产价值标准,然后发现了其产品中存在一些安全性和认证方面的缺陷。”
 
然后,O.C. Tanner公司与该公司进行合作,在该工具投入生产之前将这些问题解决掉。
 
优先考虑客户体验和数据保护
 
全球公共机构雇员保险(WAEPA)是一个团体定期人寿保险的提供商,其目标是超越竞争对手,超出普通联邦雇员和退休人员的预期,为他们提供服务。
 
“随着服务和数字工具的不断发展,全球公共机构雇员保险公司意识到需要转变和提升在用户体验中的每个平台和接触点,”首席信息官布兰登·琼斯(Brandon Jones)说道。
 
琼斯表示,拥有强大的数字化影响力是实现这一愿景的基础。为了增强其在线影响力,该组织首先进行了一项可用性研究,分析了客户数字化体验的当前状态,进行了可用性测试和用户访谈,然后对这些数据进行整合以找到在所收集到的信息中的趋势、模式和共性。
 
该项研究和分析工作为他们提高服务的可用性提供了可能,让全球公共机构雇员保险公司获得了一系列的研究结果和建议。
 
然后,全球公共机构雇员保险公司启动了一项“客户旅程分析工作”,以确定客户和潜在客户在交易过程中所经历的各个阶段,他们在每一步中期望得到什么,在每一步中都遇到什么问题,以及在每一步中他们的感受如何。
 
琼斯说:“这项工作让我们能够掌握会员们使用我们产品和服务的步骤,他们在这一过程中关联的其他内容,我们需要改进的空间以及应该合并或拆分哪些步骤。”“通过系统地绘制我们会员所经历的各个步骤,我们可将该项工作作为一个诊断工具。”
 
全球公共机构雇员保险公司开始利用之前在可用性研究和客户旅程图中的工作结果来建立一个新的网站和会员入口。该新网站的目标是更好地向用户介绍产品和申请流程;提高整个网站的一致性和易用性;提供自助服务工具和信息,以便于用户做出明智的决定;以及使客户体验“人性化”,帮助、指导在线用户,使其更安心。
 
在整个工作过程中,保护客户数据是首要考虑因素,同时安全性也已纳入到新网站和支持基础架构中。安全策略包括使用一些工具,例如冗余防火墙、虚拟专用网(VPN)、防止垃圾邮件和网络钓鱼,以及身份和访问管理等。
 
通过采取以上及其他措施,全球公共机构雇员保险公司可以为其客户营造更好的客户体验,同时提供了高度的安全性。
 
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。

关键字:CIOIT部门

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^