Hogyan tegyük a CISO-kat kényelmessé a felhőbiztonsággal

Michael Liebow, az Accenture Cloud vezetője szerint az üzleti vezetőknek meg kell változtatniuk biztonsági pozíciójukat, hogy biztonságban maradjanak a felhőben. Az Accenture Cloud vezetője szerint az üzleti vezetőknek el kell távolítaniuk a gondolkodásmódjukat az adatközpont gondolkodásától és kifelé kell haladniuk, hogy a lehető legjobban átfogják a felhőbiztonságot.

Gyakorlatilag minden szervezet áthelyez bizonyos munkafolyamatokat és eszközöket a felhőbe. A biztonsági ellenőrzésekkel és a tehetségek hiányával kapcsolatos aggodalmak azonban sok CISO-t aggódnak: a közelmúltbeli jelentés szerint a vállalatok 40% -a lassítja a migrációt e kérdések miatt.

Míg az informatikai szakemberek 83% -a azt állította, hogy érzékeny adatokat tárol a nyilvános felhőben, csak 69% -uk azt mondta, hogy bízik az nyilvános felhőben adatainak biztonságában. A felhőbiztonsági problémák rohamosak: A jelentés szerint az infrastruktúrát szolgáltatásként (IaaS) vagy a szoftver mint szolgáltatást (SaaS) használó szervezetek közül minden negyedikben ellopták az adataikat. Közben ötödik azt mondta, hogy haladó támadást tapasztaltak nyilvános felhőinfrastruktúrájuk ellen.

További információ a kiberbiztonságról

  • Kiberbiztonság 2020-ban: Nyolc félelmetes előrejelzés
  • Az évtized tíz legfontosabb cyberatása
  • Hogyan válhat kiberbiztonsági profivá: A csaló lap
  • Frank Abagnale híres embere: Ma a bűncselekmény 4000-szer könnyebb

"Sok kérdést kapunk arról, hogy hogyan védjük meg az adatait a felhőben, hogyan helyezhetjük el személyazonosságainkat a felhőbe, és hogyan végezhetjük a hálózat biztonságát" - mondta Cser András, a Forrester alelnöke és fő elemzője. "Sokszor látjuk az embereknek, hogy még meg is akadályozzák a biztonsági projekteket ezen a területen."

De azon okok, amelyek miatt a CISO-k gyakran bíznak a felhőbiztonságban, árnyaltabbak, mint egyes jelentések azt sugallhatják - mondta Daria Kirilenko, a Gartner információs kockázatértékelési igazgatója.

"Sok CISO úgy gondolja, hogy az eladó biztonsága valójában sokkal erősebb, mint az övék, de végül úgy gondolják, hogy ha ezen szállítmányok valamelyikén megsértik a versenyt, akkor továbbra is felelõsek a csapásért" - mondta Kirilenko. "Ez a fő oka annak, hogy úgy vélik, hogy a felhő valami, amit óvatosan kell tekinteni."

A CISO-k azt is gondolják, hogy biztonsági csapatuk nem rendelkezik megfelelő képességekkel a felhőstratégia végrehajtásához szervezetében - mondta Kirilenko. "A CISO-k úgy vélik, hogy végül fel nem készültek a szervezet támogatására a felhő gyors bevezetésében" - tette hozzá.

Sok biztonsági csoportnak nincs ismerete arról, hogy a felhőbiztonságnak miként kell kinéznie szervezetében, mivel a legtöbb hagyományos biztonsági gyakorlatot nem lehet átültetni a felhőkörnyezetbe, hanem újjáépíteni kell - mondta Kirilenko.

"Felkészületlenek, és végül azt hiszik, hogy végül felelősséget vállalnak, ha valami rosszul megy" - mondta Kirilenko.

Felhő biztonsági csapat felépítése

A felhőben megsértett felelősség gyakran a CISO-ra hárul, még akkor is, ha az eladó hibás - mondta Kirilenko. A CISO-knak oktatniuk kell vezető üzleti érdekelt feleiket arról a tényről, hogy a felhőbiztonság megosztott a gyártók és a belső csapat között - tette hozzá, mivel sok biztonsági kérdés merül fel, amikor a belső érdekeltek hibáznak.

"Sokkal értelmesebb, ha a CISO-k időt és erőfeszítést költenek egy erős biztonsági csapat felépítésére és a fejlesztők biztonságos felhőfolyamatokra való felkészítésére, mint amennyit időt töltenek be a szolgáltatók irányításával és megfigyelésével" - mondta Kirilenko. "Jobb eredményeket fognak elérni, ha erőfeszítéseket fordítanak egy erős biztonsági csapat felépítésére, megkönnyítve a felhőalapú biztonság megvalósítását azon fejlesztők számára, akik jelenleg a biztonság körül mozognak. Gyakran gyakran nem alkalmazzák helyesen a felhőalapú biztonságot, és ez növeli a felhő-szállítójuk használatának kockázatát. "

A felhőbiztonságért általában a felhőműveletek, a felhő-architektúra vagy a felhőbiztonsági dolgozók felelősek, de szokásos, ha a hagyományos biztonsági dolgozók az új platformokkal is küzdenek. - mondta Cser.

A felhőbiztonsági csapat felépítésekor a vállalatok általában nem képesek "egyszarvú" jelöltet keresni, aki egy felhőszolgáltató szakértője, megérti a felhő-architektúrát és rendelkezik szoftverfejlesztési ismeretekkel - mondta Kirilenko. Ehelyett a CISO-knak biztonsági csapatát készségek portfóliójának kell tekinteniük.

"Először meg kell értenie, hogy mi a készségek szükségesek a felhőhöz" - mondta Kirilenko. "Sokszor valójában nem túl fontos olyan személyeket találni, akik tisztában vannak és ismerik az egyes szolgáltatók belső és belső oldalát. Ez az, amit ezek az egyének idővel kialakíthatnak."

Ehelyett egy olyan egységet kell felépíteni, amely egyéni erősségekkel jár és kollektív biztonsági egészet alkot - mondta Kirilenko. Például az egyik munkavállaló rendelkezhet a szükséges szoftverfejlesztési készségekkel, míg egy másik erős a vállalati architektúrában, a másik pedig a megoldások architektúrájában.

A CISO-knak azt is szem előtt kell tartaniuk, hogy nem kell az összes felhőalapú biztonságot csak a saját csapatukkal építeniük - mondta Kirilenko. Egyes vállalatok felhő kiválósági központot hoztak létre, és az embereket be- és kikapcsolják különböző funkciókból, például alkalmazásokból és infrastruktúrából, és ezeket az egyéneket felhasználják a szervezet biztonságának megerősítésére.

"Sok sikeres vállalat nem látja korlátozásnak a belső biztonsági erőforrásait, mert megértik, hogy a felhőstratégia felállítása olyan, amit a szervezetnek együttesen kell tennie" - mondta Kirilenko.

A CISO-knak a felhőbiztonsági irányelvek betartását is könnyíteniük kellene a fejlesztők számára - mondta Kirilenko. A sikeres szervezetek másik gyakorlata egy olyan közös biztonsági platform kidolgozása, amelyben találhatók API-k és referencia-architektúrák, amelyek segítségével a fejlesztők gyorsan megérthetik, hogyan lehet az alkalmazásokban biztonsági irányelveket megvalósítani.

"Gondoljon arra, hogyan lehetne megkönnyíteni az érdekelt felek számára a biztonságos cselekedetek terheit - a biztonságos utat egyszerűvé kell tennie" - mondta Kirilenko.

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

© Copyright 2021 | mobilegn.com