在談論云計算、BYOD趨勢或者IT消費化等話題時，大家都認同的觀點是，IT部門必須適應或者接受這些變化。也許最需要改變的是信息安全企業，因為他們面臨的風險在不斷增加，這不僅僅是因為這些趨勢，而且因為整體威脅環境的變化。信息安全人員對威脅采取的態度和方法必須調整，才能有效地保護企業的信息資產。

[[65869]]

消失的網絡“外圍”

很久以前，在網絡外圍保持強大的防御能力(防火墻、IDS等)是信息安全部門最重要的工作之一。只要外部威脅無法破壞這些防線，他們的工作就很成功。IT部門認為他們的外圍安全已經足夠，而內部安全控制就更加放松。現在，堅不可摧的外圍的概念已經過時了，移動工作人員、BYOD和其他變化打破了這一切，這些趨勢給傳統網絡防御帶來重大挑戰。

無可否認的是，網絡外圍是重要的，但隨著員工攜帶筆記本或者智能手機(無論是公司配備的或是個人設備)進出企業的內部網絡，或者通過VPN連接甚至開放的互聯網來與內部通信，企業必須把注意力放在額外的內部控制上，并假設攻擊者將感染這些設備或者它們使用的應用程序來侵入內部網絡。然而，盡管面對這些轉變，一些IT部門仍然捍衛著這種“無懈可擊的”網絡外圍的概念。

由內而外進行改變

安全部門應該做出的最重要的調整是，改變信息安全對企業的價值的看法。有時候信息安全部門和其他其他部門存在嚴重的脫節，造成這種局面的原因有很多：例如，安全部門在過去可能已經充當過流量“警察”的角色，懲治那些違反規則的員工，這反過來又將安全部門的塑造成只會說“不”的形象，企業應該避免這種情況的發生，否則這將會讓安全部門的工作遇到各種障礙，甚至導致員工無視安全政策或者建議。

改變員工對安全部門的看法可能很困難，但這樣做的結果是值得的。安全部門可以開始越來越多地參與不同業務部門和IT部門的日常活動，從而發現影響他們工作的安全控制和政策。這種方法還能夠讓你更深入地了解每個部門是如何運作的，以及他們所依賴的信息資產，這反過來又可以讓你為他們提供有關如何安全有效地運作以及保護期關鍵資產的實用建議。

分析家和專家們都告訴我們，我們正在進入一個“后PC”時代，但無論你如何定義它，計算已經變得比以往任何時候都更個性化。為了成功地管理和緩解不同部門的風險，安全部門必須深入各個部門的運作，并成為企業的寶貴資產。