安全需求Vs商业战略——寻找共同点

简介:

即使在云采用成为主流之前,IT安全需求与业务战略和最终用户偏好冲突并不罕见。几乎所有具备安全背景的行业人士都发现自己处于尴尬的境地不得不建议反对采用具有巨大吸引力和价值的技术,因为它会带来太多的风险。

行业专家表示,所接触到的IT领导者很少认为在实现业务目标和容纳(合理的)用户偏好和请求时成为一个障碍。但是,他们也了解潜在的安全或不合规问题的成本。不幸的是,许多IT安全团队也遭受到被超越的挫折,无论是选择接受风险的高管,还是用户采用不受管制的未经授权的应用程序和平台,都会对其组织带来风险。

在当今的云计算世界中,最终用户可以根据喜好选择更多的供应商。很多企业出于商业原因被迫转移到云端或被迫将数据移动到特定的云应用程序,但是发现对云端安全控制还不够。

幸运的是,在过去几年中已经出现了解决方案,允许IT和安全管理者采用业务驱动的请求,同时为IT团队提供降低风险所需的安全控制。云计算供应商花费大量的时间和资源来保护他们的基础架构和应用程序,但他们不能确保客户的云端使用情况。

数据泄露的法律责任将由使用者承担。只有使用者才能保证在组织内的兼容性使用,因此了解流入云环境的数据类型很重要,并与各个利益相关者合作,实施控制措施,将风险降至可接受的水平,并符合当地或行业的法规。

提供商像往常一样,可以将所有内容锁定在一起,并允许用户只在云应用程序中使用最基本的功能。然而,这往往导致用户体验不佳,并导致未经授权的云采用和影子IT。

虽然云计算环境与内部部署的数据中心环境有着很大的不同,但许多安全原则仍然有效。作为基础,企业应将这些原则扩展到云计算中。三个有用的原则是:

(1)特权管理

特权管理多年来一直用于企业内部的方法来保护敏感数据,并通过限制访问来指导合规的用户行为。在一些云服务(如AWS)中,管理员可以快速积累足够的权力,在无意中或通过凭证可能导致严重的停机或安全问题。因此确保云计算中的适当特权管理有助于降低风险。

除了传统的特权管理之外,云计算也为云服务提供商带来了独特的挑战。由于他们可以访问用户的云实例,因此云计算服务提供商也能够访问客户的数据来考虑云计算风险评估的重要性。如果用户担心内部威胁或直接向云提供商提供的政府数据请求,则建议用户评估从云计算提供商隔离数据的选项。

(2)数据丢失保护

与利益相关者交流,并确定流入云端的数据类型非常重要的另一个原因是确定组织需要执行哪些数据丢失保护(DLP)策略。要查找的通用数据特征包括个人身份信息,信用卡号码,甚至源代码。如果组织正在使用内部部署DLP,那么现在是查看和更新组织已经定义的模式和数据分类定义的好时机,以确保它们在将其扩展到云计算时是有效的和相关的。

同样重要的是要让最终用户知道期待什么。如果组织决定执行阻止交易或要求对敏感交易进行额外身份验证的政策,那么请务必将其纳入自己内部培训材料,并提供给用户内部文档。它不仅可以让用户了解什么,还可以用于内部策略和用户的安全基础知识。

(3)审计

任何数据安全策略的一个重要方面是保持对数据的可见性,以确保合规使用。企业需要确保在将数据和基础架构迁移到云端时不会失去此功能。如果用户使用安全信息事件管理(SIEM)工具,那么需要花费一定的时间来决定应该将哪些云计算应用程序和交易融入到报告中。

通过将上述控件扩展到云计算环境中,用户可以建立一个保护业务支持技术的良好安全实践的共同点。通过正确的工具和策略,可以确保相关的业务需求,同时保持适当的安全和治理控制。


本文作者:佚名

来源:51CTO

相关文章
|
数据采集 存储 数据管理
谈谈企业数据战略
什么是数据资产,《数据资产论》提出“数据治理,不是数据的治理,而是数据资产的治理”,提出资产,有一个不可忽视的特征,那就是经济利益。
当企业在谈论数字化时,我们在谈论什么?
从学生时代开始,为了获得更高的分数,更好的学习效率,到工作之后,为了获取更高的劳动报酬,更好的晋升路径,我们都在有目的性的去实现自我价值。尤其是步入职场之后,在现如今的年龄,大部分时间都被工作占据,或者在为了提升工作技能而学习。
当企业在谈论数字化时,我们在谈论什么?
|
存储 人工智能 供应链
底层技术?不,区块链正在重塑商业文明
用户们应当感谢Facebook,它再次印证了单一平台管理大数据的高危性。 虽然扎克伯格已经做好准备接受尖锐质问,但8700万用户的信息泄露伤害却不可逆。
131 0
底层技术?不,区块链正在重塑商业文明
|
人工智能 运维 机器人
数字化转型过程中需要厘清的几个关系:竞争与生态
竞争和生态的关系,在数字化转型过程中是显得格外尖锐,造成这种尖锐的原因,其实是数字化转型的本质所导致的。笔者和众多数字化专家有过讨论,很多数字化转型的推动者反馈,企业在数字化转型过程中有两种突出的现象,一种是盲目,另一种是焦虑。盲目,在于对数字化的理解不够透彻,更多的是进行信息化和网络化的过程,仅仅是强调可持续发展,而不是最终的价值判断。焦虑的过程主要集中在数字转型的核心阶段,正因为看到了整个数字化,看到了企业战略在数字化底座上底层逻辑的变化,所以产生了焦虑,焦虑的核心无外乎数字化转型的最终目的,竞争或者生态。
237 0