企業(yè)首席信息安全官如何應對云計算安全

作者：Alison DeNisco Rayom 2018-05-14 12:35:00
云計算
CIOAge 如今，大部分組織都在將一些工作負載和資產(chǎn)轉移到云端。根據(jù)最近的一份調查報告，許多企業(yè)的首席信息安全官(CISO)對安全控制和人才短缺問題感到擔憂，40%的企業(yè)因這些問題而放緩業(yè)務遷移。

創(chuàng)新互聯(lián)建站成立于2013年，我們提供高端重慶網(wǎng)站建設公司、成都網(wǎng)站制作、網(wǎng)站設計、網(wǎng)站定制、成都全網(wǎng)營銷、微信小程序、微信公眾號開發(fā)、seo優(yōu)化服務，提供專業(yè)營銷思路、內容策劃、視覺設計、程序開發(fā)來完成項目落地，為小攪拌車企業(yè)提供源源不斷的流量和訂單咨詢。

如今，大部分組織都在將一些工作負載和資產(chǎn)轉移到云端。根據(jù)最近的一份調查報告，許多企業(yè)的首席信息安全官(CISO)對安全控制和人才短缺問題感到擔憂，40%的企業(yè)因這些問題而放緩業(yè)務遷移。

報告發(fā)現(xiàn)，盡管83%的IT專業(yè)人士表示他們將敏感數(shù)據(jù)存儲在公共云中，但只有69%的IT專業(yè)人士表示相信公共云能夠保護他們的數(shù)據(jù)安全。而近年來針對云計算的網(wǎng)絡攻擊十分猖獗：據(jù)調查，使用基礎設施即服務(IaaS)或軟件即服務(SaaS)的四分之一企業(yè)的數(shù)據(jù)曾經(jīng)被盜。與此同時，五分之一的受訪者表示他們遭遇了對其公共云基礎設施的重大攻擊。

調研機構Forrester公司副總裁兼首席分析師Andras Cser表示：“我們在如何保護云中的數(shù)據(jù)，如何將企業(yè)的身份轉移到云端，以及如何確保網(wǎng)絡安全等方面進行了大量的調查。很多時候，我們看到一些企業(yè)甚至放棄了這個領域的安全項目?！?/p>

但是，Gartner公司信息風險研究主管Daria Kirilenko表示，首席信息安全官(CISO)經(jīng)常不信任云安全的原因比一些報告所暗示的更為細微。

“許多首席信息安全官(CISO)認為供應商的安全性實際上比他們自己部署的安全措施強大得多，但最終他們認為如果某些供應商出現(xiàn)違規(guī)行為，他們仍將對此后果負責。”Kirilenko說，“這是他們認為應該謹慎看待采用云計算的主要原因。”

Kirilenko表示，首席信息安全官也傾向于認為他們的安全團隊沒有適當?shù)募寄茉诮M織實施云策略?！八麄冋J為，對于組織迅速采用云計算沒有準備好提供支持?！彼a充道。

Kirilenko表示，許多安全團隊缺乏云計算安全知識，因為大多數(shù)傳統(tǒng)的安全實踐不能遷移到云環(huán)境中，而是必須重建。

“他們毫無準備，最終他們認為如果出現(xiàn)問題，可能會承擔責任?！盞irilenko說。

建立一個云計算安全團隊

Kirilenko指出，即使供應商有過錯，對云中違規(guī)的責任也往往會落在企業(yè)的首席信息安全官(CISO)身上。她補充說，首席信息安全官應該向高級業(yè)務利益相關者宣傳云計算安全是由供應商和內部團隊共同承擔的事實，因為內部利益相關者犯錯時會出現(xiàn)很多安全問題。

Kirilenko表示：“首席信息安全官花費大量時間和精力建立一個強大的安全團隊，讓開發(fā)人員接受安全的云計算流程，而不是花費所有時間來管理和監(jiān)控提供商。如果他們花費精力建立強大的安全團隊，為現(xiàn)在實際上繞開安全的開發(fā)人員實施云安全措施，他們將獲得更好的結果，但他們往往不能正確實施云安全，而這增加了使用其云供應商的風險?！?/p>

Cser表示，云操作、云架構或云計算安全工作者通常負責云安全，但通常會發(fā)現(xiàn)更多傳統(tǒng)安全工作者正在與新平臺進行斗爭。

Kirilenko說，談到建立一個云安全團隊時，尋找一位“獨角獸”公司或者某個云計算提供商的專家來了解云計算架構，并擁有軟件開發(fā)技能通常是不可行的。相反，首席信息安全官應該將他們的安全團隊視為一個技能組合。

“企業(yè)需要先了解自己真正需要的云技能。”Kirilenko說，“很多時候，尋找那些知道并了解每個提供者內部和外部的個人并不是非常重要，這些個體可以隨著時間的推移而發(fā)展。”

Kirilenko說，相反，企業(yè)應該建立一支有個人優(yōu)勢的團隊，加入其團體安全。例如，一名員工可能具備必要的軟件開發(fā)技能，另一名員工在企業(yè)架構方面經(jīng)驗豐富，而另一位則在解決方案架構方面擅長。

Kirilenko表示，首席信息安全官也應該記住，他們不需要使用自己的團隊來構建所有的云安全。還有一些公司建立了云計算卓越中心，并將人員從應用程序和基礎設施等不同功能中輪換出來，并通過這些人員加強組織的安全性。

“許多成功的公司并不認為他們的內部安全資源是一種限制，因為他們知道制定云計算策略是組織應該共同做的事情?！盞irilenko說。

Kirilenko表示，首席信息安全官也應該使開發(fā)人員容易遵守云安全準則。成功組織的另一個實踐是開發(fā)一個通用安全平臺，其中包含API和參考架構，開發(fā)人員可以使用這些平臺快速了解如何在其應用程序中實施安全準則。

“企業(yè)需要考慮如何減輕利益相關者的負擔來做好安全的事情,并需要以簡單的方式實現(xiàn)安全?！盞irilenko說。

分享名稱：企業(yè)首席信息安全官如何應對云計算安全
網(wǎng)站鏈接：http://m.5511xx.com/article/cdheeih.html