不管你作何感想,最终都需要外包某些IT服务。IT外包问题有利有弊,每家公司都需要制定安全策略,协助减少固有的危险。说起来容易,“我信任IT供应商”或者“我们的确没有任何问题”,但是问题不在于你是否信任供应商,而是要为公司完成恰当的任务,保证具有合理的保护机制,减少威胁。
下文提供了六大安全策略,用以对付外部服务供应商。你可以创建独立的安全策略,也可以将这些策略融入现有的安全策略,或者制定一套外包策略,解决这些问题。
1.可以接受的使用范围
安全策略通常会要求员工做到这一点,但是外部人员可能就未必重视。将其作为一项策略,任何连接网络的人员都必须遵循规则——没有恶意材料,没有未授权的安全测试工具,没有版权问题,没有不安全的无线系统等等。咨询人员、审计人员、系统集成人员等都容易带来安全问题。保证接触系统的员工了解哪些范围不能使用,尤其是审计员和承包商,因为他们会在较长时间内与你合作。拥有的技术越多,所做的努力就越少,流程执行就越透明。创建可控制的环境有种很好的办法,就是将公司的某台电脑借给这些用户。
2.信息访问
信息访问策略应具备可靠的信息分类体系。明确哪些信息外部供应商能够共享和访问,哪些信息不能。任何人访问关键服务器,都会接触敏感信息。应确保获权的访问人员了解这项策略,这样他们就能在访问尽可能少的情况下完成工作。
3.信息损坏
信息——无论是软件信息还是硬件信息——会使公司处于未获权的状态,这是一项很大的漏洞,因此你应该加倍小心。将其作为一项策略,在你接触第三方供应商时,该策略应成为保密或未公开文件的一部分。要求所有的信息都不会返回,也不会遭到破坏。
4.入职和离职
为新来的咨询人员或技术人员设定计算机和网络帐户,这一点不容小视(尽管通常被忽视)。遵循需要了解和必须了解的规则,务必保证一旦用户不再需要访问网络,帐户就会失效。不要忘记其它的管理密码,如路由器、本地管理帐户、Web应用程序的密码,防止在于外部人员交流时泄露密码。有可能的话就在项目完成后更改密码。
5. 移除设备
有一点很重要,必须记住:笔记本、硬盘或网络图等设备、介质、硬盘信息离线后就不再受你控制,必须加以合理的保护。将其作为一项策略,随时保护这些设备,项目完成后取回这些设备。
6.计算机的最低需求
另外还存在一项严重的漏洞,即允许第三方计算机在你的网络中运行,而且没有保证网络受到合理的保护,或者不受病毒、间谍软件等恶意软件的感染。将其作为一项策略,要求在网络中运行的外部计算机及时更新补丁、反病毒签名、实时软件保护(此处的病毒指存储器、电子邮件、Web浏览器等检测出的病毒,而不仅仅是硬盘扫描到的病毒),必要时还应更新个人防火墙。如果你提供VPN、Citrix、Terminal Server等远程访问功能,这一点就格外重要,因为第三方软件很容易连接不安全的计算机。如果一台受感染或不安全的计算机将你的网络完全暴露给外部世界,那么后果不堪设想。
如果你的公司认真对待这些安全策略,那就很容易将与外包相关的策略集成到环境中。我不是一名律师,因此在将这些安全策略付诸实施之前,请先咨询法律顾问。最后,保证应付外部IT供应商的员工(网络管理员、安全经理、采购与采办人员)都能了解这些策略,保证达到最佳效果。
