RSA最新研究发现：用户驱动的IT在企业生根

2010年7月28日，EMC信息安全事业部RSA日前发布了两份最新的研究报告，揭示企业内消费者技术应用的高涨，检视当前热衷技术、谙熟IT技术的终端用户对全球IT战略日益巨大的影响力。

第一份研究报告由IDG研究服务公司制作。报告揭示了消费者技术――iPhone、iPad™等移动数字设备――在企业内的迅速应用，以及用户为推动这一趋势扮演的重要角色。第二份研究报告由RSA业务创新安全理事会制作。报告深入调查IT控制企业技术应用的传统模式迅速衰退的原因，并向安全领袖们提出具体建议：正视用户驱动IT业的趋势，管理风险，创造新的业务价值。

Genzyme全球风险与业务资源副总裁、业务创新安全理事会成员 David Kent表示：“巧妙利用非企业控制的资产，运用社会化媒体获取、传播信息的趋势是不可避免的。任何逃避现实或顽固不化的公司都是在犯错误，因为你在和大趋势背道而驰。更明智的做法是认清新形势，创造出有利于自己的发展条件。”

IDG研究显示，企业欢迎消费者技术，但忽视风险

受RSA委托，IDG研究服务公司在2010年6月对将近400家安全和IT决策者进行的调查揭示，企业采用消费者技术的数量大幅增加，消费者在加快这一趋势的进程中作用日益重要。研究还强调，很多缺乏准备的企业应该如何控制新形势带来的风险。

主要研究成果：

76%的安全与IT界领袖相信，用户对企业购买设备与应用软件的决定影响力越来越大。 

虽然IT企业仍拥有台式机和笔记本电脑等传统技术产品的购买决策权，但购买新型消费者技术时，这一趋势正在改变。

60%以上的受访者说，用户对于购买智能手机的种类有越来越多的参与性；20%的受访者说，他们会让用户来做决定。

52%的机构允许用户决定或参与决定上网本的购买，50%的机构让用户参与平板电脑（tablet）的购买决策。

用户还参与到台式机和笔记本电脑的购买决策。35%的公司让用户参与了台式机的购买决策，47%的公司让用户参与了笔记本的购买决策。

约四分之一的受访者说，他们的公司现在允许员工将自己的私人电脑或移动设备用于工作。

虽然大部分的公司明文限制或禁止将私人电子设备与公司网络连接，但将近60%的受访者说，未经许可的连接仍然存在。23%的大机构曾经发生过因私人电脑接入公司网络引发的严重违规行为或事故。

80%以上的公司现在允许员工以某种形式登录社交网络。在这些公司里，62%的人已经将社交网络作为与客户、生意伙伴进行外部交流的一种工具。

大部分的受访者认为，让用户更多介入消费者技术是积极的趋势。63%的人相信，应用上网本、平板电脑、智能手机和社会化媒体能提高生产力。

许多公司还没有安全做好新形势下的安全准备工作。只有11%的受访者认为，他们很有信心，也有合适的安全措施，以容纳更多消费者设备和应用程序的接入。

只有22%的受访公司在用户将消费者技术用于工作之前，仔细计算过技术和应用风险；38%的公司在某些领域评估了风险，但在应对策略上有差距；而高达40%的公司没有做过任何风险评估。

IDG研究服务公司将调查结果总结成名为《用户有话说》的白皮书，并将其中的研究重点归纳成名为“企业在消费者技术发展中的安全挑战”的介绍材料。各机构可进行“选择计算准备指数”测试，看看自己是否为应用选择计算做好了准备，并可与其他管理人员的测试结果相比较。

理事会最新报告显示，用户驱动的IT重塑信息安全

同一天，RSA发布了其业务创新安全理事会的第六份报告：《用户驱动的IT兴起：重新校准选择计算的信息安全》。在这份报告中， 全球安全领袖们探讨了智能手机、平板电脑和社会化媒体等消费者技术的迅速普及如何改变着IT行业。这份报告强调了技术在企业应用中的重大转变。IT部门已不再完全主宰设备与技术的选择使用，雇员们对此有了决定权。这份报告进一步强调，用户不仅会继续影响IT行业，进行技术决策，而且会实际性地拥有许多企业的计算财富。用户推动IT行业的潮流是不可避免的，但对企业并不一定是威胁。相反，这可能是提高公司价值的一个机会。

EMC安全部门RSA的首席运营官Tom Heiser表示，“无论你喜不喜欢，全球企业都感觉到个人与专业计算发生的碰撞。由用户推动的IT业有潜力为用户及其所在的组织带来巨大的利益。能放手顺应这一趋势且进行风险管理的公司将赢得这场高赌注的游戏。现在到了信息安全团队站出来，成为最有价值球员的时刻。”

基于业务创新安全理事会（其中包括一些全球顶级安全官员）的看法，这份报告为信息安全团队提出了一份路线图，用以安全地给予用户计算灵活性。具体建议包括：

1）与时俱进 ，转变思想：当用户更多地参与到企业的技术应用决策时，安全团队必须从过去命令、控制的态度转向勘漏和助力业务的态度。理事会为安全专业人士介绍了一种新方法，重新定位其角色，定义什么才是真正重要而且值得保护的东西。

2）将用户视为财富：今天，普通人已经成为复杂技术的用户。信息安全不应再把用户教育视为单向交流，而应是双向对话。理事会概括指出，安全团队应如何利用用户群作为强大的娴熟技术队伍，以促进业务优势。

3）承担适当的风险：用户驱动的IT带来了一系列新风险、更多的法律法规义务，以及由此衍生出的威胁。为了将风险控制在可承受的范围内，安全专业人士必须了解这些风险，即时调整本机构对风险的适应性。理事会成员就如何处理社交网站的所有权、代表权、电子发现、移动恶意软件的增长和网络钓鱼式欺诈行为等，提出了指导。

4）站在技术发展的前沿：为了评估用户驱动的IT的风险和益处，安全团队必须加速消费者设备、应用程序及技术的企业部署。理事会成员建议，紧跟虚拟化、精简型运算、云计算、以及高级身份认证和安全技术等未来的尖端技术。  

5）掌握未来：在迅速变化的消费者技术世界里，提前预测变化的能力比以往显得更加重要。理事会建议，建立组织跨职能团队，制定包括应急基金的灵活预算，运用试点项目减少信息泄露并获取企业经验。

6）与厂商合作：理事会成员探求了主要供应商在用户驱动的IT中能扮演的角色，并就企业如何更好地与供应商合作，以便进行横向学习，塑造未来企业产品等，提供了指导。
关于业务创新安全理事会

业务创新安全理事会由全球1000名首席信息安全执行官中组成，他们将分享他们自己的见解和经验，以协助全球组织推动信息安全的发展。

理事会成员包括：

•JP摩根大通银行风险管理部董事总经理Anish Bhimani；
•T-Mobile负责信息安全和保护的公司副总裁Bill Boni;
•自动数据处理公司副总裁、首席安全官Roland Cloutier;
•eBay副总裁、首席信息安全官Dave Cullinane;
•CSO Confidential 公司创始人、前BP公司副总裁兼数字安全与首席信息安全官Paul Dorey博士；
•时代华纳副总裁、信息安全及隐私官Renee Guttmann;
•Genzyme（健赞）公司安全部副总裁David Kent；
•Diageo(帝亚吉欧)首席信息安全官Claudia Natanson博士;
•HDFC银行的首席信息安全官兼高级副总裁Vishal Salvi；
•信诺公司首席信息安全官Craig Shumard；
•联邦快递公司首席信息安全官兼副总裁Denise Wood。

今天发布的报告是该委员会第六份系列报告。RSA希望理事会在今后几个月中发布更多的原创报告。有兴趣了解更多关于业务创新安全理事会报告的读者，可以访问RSA思想领袖的网站http://www.RSA.com/securityforinnovation/，查看和下载所有研究报告。