云端?當(dāng)你在談?wù)?rdquo;云”的時候,你到底在談?wù)撌裁?
人們對于各種基于云的產(chǎn)品以及解決方案之間的細(xì)微差別可能有多種多樣的認(rèn)知。對本文而言,云的概念就是一種將計算處理、存儲過程剝離,并利用“別人的電腦”的機(jī)會。
在云端化的過程中,很重要的一點(diǎn)就是在提升價值的同時保護(hù)信息。
我們要解決什么問題?
我們每天都在聽聞各種網(wǎng)絡(luò)安全的壞消息,人們持續(xù)關(guān)注著安全失誤、缺乏控制,還有人悲觀地認(rèn)為未來越變越多的云將帶來一場災(zāi)難,是這樣嗎?
并不完全是。
隨著我們的大腦充滿了負(fù)面信息,不斷從惡劣結(jié)果角度考慮風(fēng)險,很容易認(rèn)為云會帶來另一場威脅。在這個鏈條里,云本身就是問題,它帶來了一連串我們必須面對的風(fēng)險。
但事實(shí)上,云有可能成為我們解決實(shí)際問題的機(jī)會:改變我們保護(hù)組織賴以生存的信息的方式。
將組織遷移到一個帶有完備安全策略的云上可能反而會增加安全性。你可能會得到一直以來渴求的控制權(quán)限。更好的是,通過把基本功能交由第三方處理,你可以騰出更多時間來做更高級別、更有價值的任務(wù)。
你頭上的云可能會產(chǎn)生一場風(fēng)暴,毀掉一天的好心情,或者讓太陽炙烤地面,帶來炎熱的氣候,但這些感受往往只屬于視角問題。同樣,公司需要判斷云技術(shù)在整套解決方案中所處的位置,不管認(rèn)為它是機(jī)會還是負(fù)擔(dān),這種判斷本身往往也只是一個視角問題。
最近的一項(xiàng)調(diào)查顯示,61%的公司認(rèn)為,將業(yè)務(wù)遷移到云上是屬于高管或董事層的戰(zhàn)略性決定。
人們?nèi)绱丝粗卦贫嘶虼撕苡斜匾u估一下自己的公司是否正在遷移到云端。在很多情況下,答案都是否定的:準(zhǔn)備遷移到云端的所有組織中,有34%認(rèn)為IT和安全決策在公司內(nèi)起領(lǐng)導(dǎo)作用,拖延了云端化過程。
作為安全負(fù)責(zé)人,你有三種基本的選擇:
領(lǐng)導(dǎo)公司遷移到一個更加安全的云上
對其他人的決定作出反應(yīng),并提出一些改進(jìn)
徹底落伍
三個需要考慮的關(guān)鍵因素
將云包括進(jìn)你的策略中至少包括以下三個需要考慮的關(guān)鍵領(lǐng)域:
選擇:通知并確定標(biāo)準(zhǔn),以指導(dǎo)企業(yè)的解決方案,在使公司受益的同時保護(hù)信息。
保護(hù):一旦決定了某個特定的解決方案,應(yīng)當(dāng)了解環(huán)境,并構(gòu)建保護(hù)信息安全的最佳途徑。
操作:測量、評估并根據(jù)需求變化和其它可用選項(xiàng)調(diào)整控制、方法、解決方案。
選擇
由于在早期就能夠考慮關(guān)鍵因素,這對安全而言是個很不錯的機(jī)會。對領(lǐng)導(dǎo)層而言,云能夠?qū)踩鳛楣緲I(yè)務(wù)的一部分進(jìn)行整合,而不會成為業(yè)務(wù)的障礙。
你需要引導(dǎo)組織遷移到云上,并在過程中明確以下幾個問題:
你想解決什么問題?
如何確定范圍?
如何評估?
保護(hù)
理想地講,將云上的數(shù)據(jù)保護(hù)起來與選擇過程有關(guān)。不管你如何匹配或完善選擇,你究竟能做什么才是真正決定是否能夠進(jìn)行保護(hù)的關(guān)鍵因素。你需要投入時間,與供應(yīng)商展開合作,探索以下幾個關(guān)鍵領(lǐng)域,以制定一份與組織的風(fēng)險相匹配的方法:
每個相關(guān)方的角色,為什么會是這樣
如何控制訪問權(quán)限
如何保護(hù)數(shù)據(jù)
從這些基本問題開始:
對方能做什么?
對方做了什么?
如何保護(hù)對方?
如何保護(hù)你自己?
在不考慮預(yù)算的情況下,對方能做什么
操作
盡管選擇和保護(hù)解決方案是必要的,我們大量的時間都浪費(fèi)在了消費(fèi)那些現(xiàn)成的服務(wù)上。對領(lǐng)導(dǎo)者而言,應(yīng)當(dāng)開發(fā)清晰和結(jié)構(gòu)化的過程:
評估績效和風(fēng)險
評估控制和保護(hù)機(jī)制的狀況,在新選擇可以使用的情況下也是如此
周期性地評估價值并進(jìn)行改進(jìn),不論是對于當(dāng)前的解決方案還是選擇/保護(hù)過程
與其他人展開探討
京公網(wǎng)安備 11010502049343號