如今，在線協作應用程序對企業來說已經變得至關重要，但許多企業在新冠疫情開始爆發之后急于實施這些工具，并沒有糾正他們在安全方面所犯的錯誤。

在新冠疫情爆發之前，很多人理所當然地認為，大多數員工大部分時間都在企業辦公室工作。然而，在后疫情時代，許多員工可以在任何地方、任何時間、任何有互聯網連接的設備上工作。

2020年初，當新冠疫情在全球蔓延時，很多企業紛紛采用在線協作工具。這些工具具有從語音和視頻會議到文檔共同創作和項目跟蹤的各種功能，可以幫助員工在家中或其他任何地方就各種項目和計劃進行溝通、協同工作和共享更新。

雖然一些企業現在鼓勵甚至強制許多員工回到辦公室工作，但協作工具對業務運營仍然至關重要。技術研究和咨詢機構ISG公司的網絡安全主管Doug Glair表示，這些協作工具已經成為與在多個地點工作的員工開展業務的基本組成部分，無論是在企業內部，還是在外部與客戶、供應商和其他第三方打交道。因此，考慮到協作工具對業務的關鍵價值，企業需要確保其具有彈性、易用性和安全性。

行業專家表示，盡管企業已經使用協作工具好幾年的時間，但他們仍然在犯與新冠疫情早期出現的安全錯誤。

網絡安全評估機構Schellman公司的CEO Avani Desai表示，出現安全方面錯誤的一個主要原因是，協作工具通常是在業務部門內部啟用的，而不是在企業范圍內。她說，“也許我想用Asana，其他人想用SharePoint，還有人想用Jira，而執行團隊想用另一種工具——這樣用戶訪問權限就不會在企業層面上被授予。多年來，用戶訪問一直是一個問題，而且這個問題一直存在。”

調研機構Gartner公司分析師Patrick Hevesi認同Desai的評估。他說：“假設企業要求采用的是微軟365或G Suite，或者其他什么協作工具，但企業中的其他人想用Slack。一些員工在沒有IT安全部門授權的情況下添加了更多的協作工具。”

此外，采用協作平臺(例如Microsoft Teams、Slack、Box、Dropbox、GitHub、Jira、Asana等)的企業通常關注的是生產力方面帶來的好處。管理服務商GreenPages Technology Solutions公司的安全實踐主管Jay Martin表示，保護這些平臺、通信和他們共享的數據通常是事后才想到的事情，如果有人考慮過的話。

他說:“提高它們的安全性對于保護企業免受尋求專有信息、財務數據、知識產權等入口的威脅至關重要。”

行業媒體詢問了科技行業分析師、IT服務提供商和安全顧問，請他們列出了當今企業所犯的最大的協作安全錯誤，以及如何改正這些錯誤。以下是他們提供的建議。

協作安全錯誤#1：沒有為協作工具提供集中治理

安全咨詢機構NCC集團風險管理和治理技術總監Sourya Biswas表示，如果企業不提供經過審查的協作工具，員工可能會自己尋找并使用不安全的解決方案。他說，“因此，雖然企業接受數字協作很重要，但同時他們應該通過限制本地管理員訪問和托管瀏覽器解決方案等機制來防止安裝和使用未經批準的工具。”

技術產品和服務經銷商SHI International公司的終端用戶解決方案高級主管Michael McCracken表示，即使協作工具得到審查和批準，企業也必須認識到每個員工允許訪問的不同協作平臺，以防止敏感數據被泄露，并避免采用為不良行為者提供新的攻擊載體，技術產品和服務的經銷商。

此外，IT部門需要保持對這些工具的集中控制，獨立會計和商業咨詢機構Armanino公司的風險保證顧問合伙人AJ Yawn表示，“如果有人被解雇，負責解雇的人是否知道要刪除這些工具的訪問權限，或者那些被解雇的員工是否仍然可以訪問企業的敏感數據?”

協作安全錯誤#2：使用不安全的文件共享方法

Schellman公司的Desai表示，許多企業使用不安全的方法進行文件共享。其中兩個例子是未加密的電子郵件附件和使用未內置加密的協作工具進行的公共文件共享。

她說。“使用不安全的文件共享方法是一個安全問題，因為它可能導致數據泄露。”她建議企業只使用帶有加密功能的安全文件共享平臺。

Desai表示，企業還應該實施安全的文件傳輸協議。他說，“所以電子郵件應該具有我們所說的傳輸層安全，就像在傳輸過程中加密一樣。”

協作安全錯誤#3：未對顧問和服務提供商進行盡職調查

雖然行業領先的協作供應商提供了強大的安全功能，但通常取決于部署和管理軟件的人員，以確保將其配置為最大的安全性。在許多情況下，特別是在小型企業中，企業會向IT顧問或服務提供商尋求這些服務。IT服務和咨詢商TechMahindra公司的首席數字服務官Kunal Purohit表示，盡管人們對協作安全的意識越來越高，但咨詢師和服務提供商最終還是會犯錯誤，使客戶的數據處于危險之中。

這些錯誤包括不充分的訪問控制，例如允許密碼共享或授予過多的特權。忽視實施強認證措施，例如雙因素身份驗證。他表示，沒有定期更新軟件和系統，這可能會形成漏洞。顧問和服務提供商犯的另一個錯誤是在傳輸或存儲過程中沒有對敏感信息進行加密。Purohit說，“此外，未能進行定期安全審計和評估進一步使企業面臨風險。”

Purohit建議，在聘請任何顧問或服務提供商之前，企業應該進行徹底的盡職調查。這包括驗證這些第三方是否具有實現健壯安全措施的可靠歷史。

他說:“企業應該清楚地定義他們的安全需求和期望，并將其包括在與顧問或服務提供商的合同協議中。此外，企業應該定期進行安全審計和評估，以識別任何漏洞或違規行為。”

此外，企業應該執行嚴格的訪問控制。根據顧問和服務提供商的具體需求，為他們提供有限的特權。最重要的是，企業應該與他們建立清晰的溝通渠道，以便及時報告任何安全事件或漏洞。

協作安全錯誤#4：沒有確保員工使用安全的互聯網連接

NCC集團的Biswas表示，在世界任何地方通過互聯網連接進行協作的能力，為員工連接到咖啡館和機場等公共場所的不安全無線接入點提供了可能性，從而危及通過連接流過的任何數據。他表示，虛擬專用網絡、安全訪問服務邊緣和零信任網絡訪問工具解決了這一問題。

領導外包IT服務團隊的Eisner Amper公司的合伙人Rahul Mahna對此表示贊同。他說：“現在大家都開始旅行或出差，他們開始使用Acela、酒店房間和會議中心提供的免費Wi-Fi連接他們的協作工具。這些都充滿了安全問題。我總是告訴人們，最安全的連接是綁定自己的手機，因為通信運營商的安全性比從免費Wi-Fi獲得的安全性要好得多。”

不能浪費時間

IT基礎設施服務提供商Kyndryl公司的全球安全與彈性業務主管Kris Lovejoy表示，協作是推動當今工作場所發展的驅動力。新冠疫情改變了企業的工作方式，數字化程度的提高推動了企業業務的發展，但這也擴大了潛在網絡攻擊可能發生的范圍。

她說:“如今，現在的問題不是會不會發生，而是什么時候會發生。從安全的角度來看，采用協作工具增加了威脅。這一日益嚴峻的挑戰為企業可以采用新的方式來思考威脅提供了一個機會。這就是為什么重新調整以適應網絡彈性未來至關重要的原因。”