首席信息安全官给董事会成员的四点云安全建议

2018-04-26 10:24:00 作者:ym 出处 : 比特网

  当我与董事会成员讨论有关云安全事宜的时候,我发现他们可大致分为两类:一类是顾虑到安全问题反对把企业数据迁移至平台的,这类人为数较少;另一类人为数较多,他们虽担心云安全问题,但已经主动或不经意地开始使用云服务。这些人连同他们所在的企业正在使用Office 365、Salesforce或者Amazon Web Service (AWS)等云平台,这表明他们已经决定将数据放在云上面。实际上他们在向云迁移的征程中已经迈出了第一步,但在决策时没有将可能面临的安全风险考虑在内。

  我们暂且不管这些董事属于何方阵营,我认为有一点非常重要,那就是一个企业的首席信息安全官 (CISO) 必须要参与到有关云安全的讨论当中,只有这样才能让企业高层明白在安全方面不能只做“事后诸葛”,而是要居安思危,未雨绸缪。鉴于此,我向各位企业首席信息安全官提出如下四点建议:在与董事会讨论云安全相关话题时,这些建议需要你们重点强调。

  一、 云也是一种风险

  谈及云安全的重要性,只有强调它会给业务带来风险时,董事们才更容易有所触动。各位董事每天都在围绕风险做出决策,云只是所有风险里的一种。在每一场有关云安全的谈话中,董事会成员都应该先问自己一个问题,而这个问题在任何一场有关风险话题的谈话中都有可能会提及,那就是:当我们把数据部署于云,如何做才能降低这些风险带给企业的实质性影响?

  任何一款云应用使用的数据都有所不同,这需要企业有针对性地进行评估。例如,如果企业在云上存储的是面向大众的营销资料,资料泄露带给业务的风险就不是很高。但另外一方面,如果是某一新品的源代码库,那么泄露所带来的风险必定是贻害无穷。

  二、 公有云自带的安全措施远远不够

  董事们应该掌握公有云自身以及如何确保公有云安全的最基本认识。几乎所有云供应商都会在其平台上内置某种形式的安全措施。此外,使用者往往都认定这些由供应商提供的安全措施足够有效,但事实上却远非如此。在安全方面企业和公有云供应商应该有着同等的责任:平台基础设施的安全应该由云供应商负责,而确保数据安全则是企业的责任。

  现实情况是,云上存储的数据与企业内部存储的数据,在安全性方面毫无差异。因此说,如果你需要部署额外安全措施来保护那些非云上存储的数据,那对于云上存储的数据就更需要采取措施来进行保护。此外,你所部属的安全措施要能够与其他安全架构实现完全集成,并以高速自动化的方式进行协作。只有这样,企业才有更大的机会防御网络攻击,保护数据免于外泄。

  三、 云安全并不另类

  云安全经常被看作是“另类”安全,需要另类的方法来处理。每当听到有人如此表述的时候,我一般会问同一个问题给他们:这样的话,用我们去管理网络边缘、数据中心和移动设备安全的方式,来管理云服务安全,岂不更好?

  董事们都应该支持在企业内实施始终如一的安全措施,这不但可行,而且也是在云、网络和端点成功阻截网络攻击的唯一希望。首席信息安全官们知道对多重安全措施和产品进行管理和编排,会使安全环境变得复杂,产生偏差和风险的几率大大增加,同时提高成本。强调那些风险和潜在的花费是董事们欣赏并理解的行为,因此也会正确地区分优先次序。

  四、 保护云安全也是防御哲学中的一部分

  在网络安全方面,我遇到的那些积极的董事都已经开始采用防御哲学来指导工作。这套哲学的基础是对网络实现一致的可视化和保护,无论是对数据中心、网络边缘、移动设备亦或是云。在各位首席信息安全官的协助下,这些董事开始明白:要想阻止悲剧发生,就应该将防御设定为主要目标,并成为在安全方面投资的决策基础。对于那些希望能够说服董事会成员的首席信息安全官来说,最重要的是要能够向其展示一套完整的安全方案是如何实现包括云在内的各类安全的,以及最终是如何消除业务风险、阻截网络攻击的。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。