首席信息安全官给董事会成员的四点云安全建议

  当我与董事会成员讨论有关云安全事宜的时候,我发现他们可大致分为两类:一类是顾虑到安全问题反对把企业数据迁移至云平台的,这类人为数较少;另一类人为数较多,他们虽担心云安全问题,但已经主动或不经意地开始使用云服务。这些人连同他们所在的企业正在使用Office 365、Salesforce或者Amazon Web Service (AWS)等云平台,这表明他们已经决定将数据放在云上面。实际上他们在向云迁移的征程中已经迈出了第一步,但在决策时没有将可能面临的安全风险考虑在内。

  我们暂且不管这些董事属于何方阵营,我认为有一点非常重要,那就是一个企业的首席信息安全官 (CISO) 必须要参与到有关云安全的讨论当中,只有这样才能让企业高层明白在安全方面不能只做“事后诸葛”,而是要居安思危,未雨绸缪。鉴于此,我向各位企业首席信息安全官提出如下四点建议:在与董事会讨论云安全相关话题时,这些建议需要你们重点强调。

  一、 云也是一种风险

  谈及云安全的重要性,只有强调它会给业务带来风险时,董事们才更容易有所触动。各位董事每天都在围绕风险做出决策,云只是所有风险里的一种。在每一场有关云安全的谈话中,董事会成员都应该先问自己一个问题,而这个问题在任何一场有关风险话题的谈话中都有可能会提及,那就是:当我们把数据部署于云,如何做才能降低这些风险带给企业的实质性影响?

  任何一款云应用使用的数据都有所不同,这需要企业有针对性地进行评估。例如,如果企业在云上存储的是面向大众的营销资料,资料泄露带给业务的风险就不是很高。但另外一方面,如果是某一新品的源代码库,那么泄露所带来的风险必定是贻害无穷。

  二、 公有云自带的安全措施远远不够

  董事们应该掌握公有云自身以及如何确保公有云安全的最基本认识。几乎所有云供应商都会在其平台上内置某种形式的安全措施。此外,使用者往往都认定这些由供应商提供的安全措施足够有效,但事实上却远非如此。在安全方面企业和公有云供应商应该有着同等的责任:平台基础设施的安全应该由云供应商负责,而确保数据安全则是企业的责任。

  现实情况是,云上存储的数据与企业内部存储的数据,在安全性方面毫无差异。因此说,如果你需要部署额外安全措施来保护那些非云上存储的数据,那对于云上存储的数据就更需要采取措施来进行保护。此外,你所部属的安全措施要能够与其他安全架构实现完全集成,并以高速自动化的方式进行协作。只有这样,企业才有更大的机会防御网络攻击,保护数据免于外泄。

  三、 云安全并不另类

  云安全经常被看作是“另类”安全,需要另类的方法来处理。每当听到有人如此表述的时候,我一般会问同一个问题给他们:这样的话,用我们去管理网络边缘、数据中心和移动设备安全的方式,来管理云服务安全,岂不更好?

  董事们都应该支持在企业内实施始终如一的安全措施,这不但可行,而且也是在云、网络和端点成功阻截网络攻击的唯一希望。首席信息安全官们知道对多重安全措施和产品进行管理和编排,会使安全环境变得复杂,产生偏差和风险的几率大大增加,同时提高成本。强调那些风险和潜在的花费是董事们欣赏并理解的行为,因此也会正确地区分优先次序。

  四、 保护云安全也是防御哲学中的一部分

  在网络安全方面,我遇到的那些积极的董事都已经开始采用防御哲学来指导工作。这套哲学的基础是对网络实现一致的可视化和保护,无论是对数据中心、网络边缘、移动设备亦或是云。在各位首席信息安全官的协助下,这些董事开始明白:要想阻止悲剧发生,就应该将防御设定为主要目标,并成为在安全方面投资的决策基础。对于那些希望能够说服董事会成员的首席信息安全官来说,最重要的是要能够向其展示一套完整的安全方案是如何实现包括云在内的各类安全的,以及最终是如何消除业务风险、阻截网络攻击的。

第 1 /  10 页
点击查看余下全文