云端?当你在谈论”云”的时候,你到底在谈论什么?
人们对于各种基于云的产品以及解决方案之间的细微差别可能有多种多样的认知。对本文而言,云的概念就是一种将计算处理、存储过程剥离,并利用“别人的电脑”的机会。
在云端化的过程中,很重要的一点就是在提升价值的同时保护信息。
我们要解决什么问题?
我们每天都在听闻各种网络安全的坏消息,人们持续关注着安全失误、缺乏控制,还有人悲观地认为未来越变越多的云将带来一场灾难,是这样吗?
并不完全是。
随着我们的大脑充满了负面信息,不断从恶劣结果角度考虑风险,很容易认为云会带来另一场威胁。在这个链条里,云本身就是问题,它带来了一连串我们必须面对的风险。
但事实上,云有可能成为我们解决实际问题的机会:改变我们保护组织赖以生存的信息的方式。
将组织迁移到一个带有完备安全策略的云上可能反而会增加安全性。你可能会得到一直以来渴求的控制权限。更好的是,通过把基本功能交由第三方处理,你可以腾出更多时间来做更高级别、更有价值的任务。
你头上的云可能会产生一场风暴,毁掉一天的好心情,或者让太阳炙烤地面,带来炎热的气候,但这些感受往往只属于视角问题。同样,公司需要判断云技术在整套解决方案中所处的位置,不管认为它是机会还是负担,这种判断本身往往也只是一个视角问题。
最近的一项调查显示,61%的公司认为,将业务迁移到云上是属于高管或董事层的战略性决定。
人们如此看重云端化,因此很有必要评估一下自己的公司是否正在迁移到云端。在很多情况下,答案都是否定的:准备迁移到云端的所有组织中,有34%认为IT和安全决策在公司内起领导作用,拖延了云端化过程。
作为安全负责人,你有三种基本的选择:
领导公司迁移到一个更加安全的云上
对其他人的决定作出反应,并提出一些改进
彻底落伍
三个需要考虑的关键因素
将云包括进你的策略中至少包括以下三个需要考虑的关键领域:
选择:通知并确定标准,以指导企业的解决方案,在使公司受益的同时保护信息。
保护:一旦决定了某个特定的解决方案,应当了解环境,并构建保护信息安全的最佳途径。
操作:测量、评估并根据需求变化和其它可用选项调整控制、方法、解决方案。
选择
由于在早期就能够考虑关键因素,这对安全而言是个很不错的机会。对领导层而言,云能够将安全作为公司业务的一部分进行整合,而不会成为业务的障碍。
你需要引导组织迁移到云上,并在过程中明确以下几个问题:
你想解决什么问题?
如何确定范围?
如何评估?
保护
理想地讲,将云上的数据保护起来与选择过程有关。不管你如何匹配或完善选择,你究竟能做什么才是真正决定是否能够进行保护的关键因素。你需要投入时间,与供应商展开合作,探索以下几个关键领域,以制定一份与组织的风险相匹配的方法:
每个相关方的角色,为什么会是这样
如何控制访问权限
如何保护数据
从这些基本问题开始:
对方能做什么?
对方做了什么?
如何保护对方?
如何保护你自己?
在不考虑预算的情况下,对方能做什么
操作
尽管选择和保护解决方案是必要的,我们大量的时间都浪费在了消费那些现成的服务上。对领导者而言,应当开发清晰和结构化的过程:
评估绩效和风险
评估控制和保护机制的状况,在新选择可以使用的情况下也是如此
周期性地评估价值并进行改进,不论是对于当前的解决方案还是选择/保护过程
与其他人展开探讨