云中有什么?
很多企業(yè)希望將業(yè)務(wù)遷移到云端,還希望采用可以快速實施的統(tǒng)一通信和協(xié)作服務(wù),并提供更多功能,同時降低預(yù)算。而這種思考過程可以適用于用戶的聯(lián)絡(luò)中心。云計算具有更多的吸引力,但IT人員和業(yè)務(wù)線部門(LoB)對其安全風險的看法不同。
波洛蒙研究所的調(diào)查
在Salesforce公司委托波洛蒙研究所開展的調(diào)查研究中,發(fā)布了一份名為“縮小云安全業(yè)務(wù)差距”的報告。此文的圖表來自這份報告。
此次研究調(diào)查了涉及云計算服務(wù)的各種意見、問題和業(yè)務(wù)職位。發(fā)現(xiàn)IT部門的安全觀隨著業(yè)務(wù)線(LoB)部門而變化。由于這兩個部門并不一致,因此在創(chuàng)建過程、實施程序、定義預(yù)算和實施安全性方面可能存在沖突。
遷移到云端的原因?qū)τ贗T部門和業(yè)務(wù)線(LoB)部門來說都很常見。但是,每個小組都不同地強調(diào)此舉背后的原因。IT部門希望降低成本,而業(yè)務(wù)線(LoB)部門希望提高效率,并縮短部署時間。IT部門希望提高安全性(24%),而業(yè)務(wù)線(LoB)部門認為這不太重要(12%)。見下圖。
云計算風險
波洛蒙研究所的調(diào)查報告的結(jié)論之一是,不了解所有正在使用的云計算應(yīng)用程序和平臺(SaaS或PaaS)可能會產(chǎn)生風險。該報告發(fā)現(xiàn),77%的受訪者無法全面了解收集、處理、存儲的敏感數(shù)據(jù)。50%的受訪者認為他們的IT組織并不完全了解目前使用的所有云應(yīng)用程序。當被要求對風險等級進行評級時,69%的受訪者表示,很多組織不了解當前使用的所有云應(yīng)用程序和相關(guān)平臺。
下圖顯示了云計算與內(nèi)部部署解決方案的安全性大致相同。它還表明,對于云計算資源的安全性,業(yè)務(wù)線(LoB)部門(20%)和IT部門(38%)的認知之間似乎存在脫節(jié)。
數(shù)據(jù)泄露
IT安全性擔心數(shù)據(jù)泄露可能導致信息被竊取,企業(yè)網(wǎng)站上的信息發(fā)生變化,用戶采用惡意代碼,或禁用企業(yè)資源。數(shù)據(jù)泄露最常見的罪魁禍首是人為錯誤(48%)。這意味著企業(yè)需要監(jiān)控其用戶,以發(fā)現(xiàn)可能導致安全問題的實際行為。
調(diào)查表明,網(wǎng)絡(luò)攻擊占安全問題的43%。應(yīng)對網(wǎng)絡(luò)攻擊需要一組不同的工具,從監(jiān)視網(wǎng)絡(luò)和異常行為的應(yīng)用程序到安裝預(yù)防措施。第三個主要的安全問題來源是系統(tǒng)故障(36%)。這可能意味著安裝不當、疏忽、沒有更新補丁、推遲更改、IT人員無知或培訓效果不佳,所有這些都是IT管理問題。
SaaS vs. PaaS:安全責任
假設(shè)用戶正在使用云計算服務(wù),誰來負責安全?在比較SaaS和PaaS安全責任時,受訪者存在明顯的意見分歧。當SaaS投入使用時,29%的受訪者表示希望云計算服務(wù)提供商負責安全性。使用PaaS時,期望云計算服務(wù)提供商負責安全性的百分比降至17%。當被問及是否應(yīng)該共享安全責任時,SaaS客戶希望分擔責任(13%)。相比之下,PaaS客戶為25%。
IT vs. LOB的安全感知
該報告的結(jié)論是,業(yè)務(wù)線(LoB)比IT安全,在云中的敏感/機密信息比內(nèi)部部署更安全。根據(jù)下圖,46%的業(yè)務(wù)線(LoB)部門受訪者認為,與IT部門受訪者相比,敏感或機密數(shù)據(jù)在云中更安全(28%)。IT安全受訪者(33%)表示,他們的功能是保護信息,而業(yè)務(wù)線(LoB)部門的這一比例為25%。
IT部門更加關(guān)注組織不了解所使用的所有云計算應(yīng)用程序相關(guān)的風險(IT部門為69%,業(yè)務(wù)線(LoB)部門為40%)。
一些觀點和結(jié)論
使用云服務(wù)可以減少IT部門的工作量。這也意味著IT控制較少,并且依賴于第三方的安全性。IT部門認為增加風險,而業(yè)務(wù)線(LoB)部門則認為采用了更有效的解決方案。
•IT部門認為風險妨礙其運營,在發(fā)生攻擊時將會產(chǎn)生額外的工作和投訴。
•IT部門認為攻擊是一種成本,因為它們會耗盡資源。
•業(yè)務(wù)線(LoB)部門認為其風險是金融方面的攻擊,不僅是收入和利潤,還包括監(jiān)管機構(gòu)的費用和罰款。
•業(yè)務(wù)線(LoB)部門關(guān)注客戶流失和聲譽受損。
IT部門與業(yè)務(wù)線(LoB)部門的安全認知可能是由于內(nèi)部安全功能的聲譽不佳。云計算營銷對業(yè)務(wù)線(LoB)部門的影響可能比IT部門更大。因此,IT部門與業(yè)務(wù)線(LoB)部門必須更好地相互溝通,更多地了解對方的看法、目標和情況。
京公網(wǎng)安備 11010502049343號