重庆小潘seo博客

当前位置:首页 > 重庆网络营销 > 小潘杂谈 >

小潘杂谈

CISO需向企业管理层知会的几点云安全建议

时间:2020-08-14 20:00:13 作者:重庆seo小潘 来源:
当与企业管理讨论有关云安全事宜的时候,大致可以遇到两种情况:一类是顾虑到安全问题反对把企业数据迁移至云平台,这类人为数较少;另一类人为数较多,他们虽担心云安全问题,但已经主动或不经意地开始使用云服务,在向云迁移的征程中已经迈出了第一步,但

当与企业管理讨论有关云安全事宜的时候,大致可以遇到两种情况:一类是顾虑到安全问题反对把企业数据迁移至云平台,这类人为数较少;另一类人为数较多,他们虽担心云安全问题,但已经主动或不经意地开始使用云服务,在向云迁移的征程中已经迈出了第一步,但在决策时没有将可能面临的安全风险考虑在内。

我们暂且不论这些管理人员属于何方阵营,但有一点非常重要,那就是一个企业的首席信息安全官 (CISO) 必须要参与到有关云安全的讨论当中,只有这样才能让企业高层明白在安全方面不能只做“事后诸葛”,而是要居安思危,未雨绸缪。鉴于此,对各位企业首席信息安全官提出如下四点建议:在与管理层讨论云安全相关话题时,这些建议需要重点强调。

一、 云也是一种风险

谈及云安全的重要性,只有强调它会给业务带来风险时,管理层才更容易有所触动。各位管理者每天都在围绕风险做出决策,云只是所有风险里的一种。在每一场有关云安全的谈话中,管理成员都应该先问自己一个问题,而这个问题在任何一场有关风险话题的谈话中都有可能会提及,那就是:当我们把数据部署于云,如何做才能降低这些风险带给企业的实质性影响?

任何一款云应用使用的数据都有所不同,这需要企业有针对性地进行评估。例如,如果企业在云上存储的是面向大众的营销资料,资料泄露带给业务的风险就不是很高。但另外一方面,如果是某一新品的源代码库,那么泄露所带来的风险必定是贻害无穷。

二、 公有云自带的安全措施远远不够

管理层应该掌握公有云自身以及如何确保公有云安全的最基本认识。几乎所有云供应商都会在其平台上内置某种形式的安全措施。此外,使用者往往都认定这些由供应商提供的安全措施足够有效,但事实上却远非如此。在安全方面企业和公有云供应商应该有着同等的责任:平台基础设施的安全应该由云供应商负责,而确保数据安全则是企业的责任。

现实情况是,云上存储的数据与企业内部存储的数据,在安全性方面毫无差异。因此说,如果你需要部署额外安全措施来保护那些非云上存储的数据,那对于云上存储的数据就更需要采取措施来进行保护。此外,你所部属的安全措施要能够与其他安全架构实现完全集成,并以高速自动化的方式进行协作。只有这样,企业才有更大的机会防御网络攻击,保护数据免于外泄。

三、 云安全并不另类

云安全经常被看作是“另类”安全,需要另类的方法来处理。每当听到有人如此表述的时候,我一般会问同一个问题给他们:这样的话,用我们去管理网络边缘、数据中心和移动设备安全的方式,来管理云服务安全,岂不更好?

管理层都应该支持在企业内实施始终如一的安全措施,这不但可行,而且也是在云、网络和端点成功阻截网络攻击的唯一希望。首席信息安全官们知道对多重安全措施和产品进行管理和编排,会使安全环境变得复杂,产生偏差和风险的几率大大增加,同时提高成本。强调那些风险和潜在的花费是管理者欣赏并理解的行为,因此也会正确地区分优先次序。

四、 保护云安全也是防御哲学中的一部分

在网络安全方面,一些积极的管理者已经开始采用防御哲学来指导工作。这套哲学的基础是对网络实现一致的可视化和保护,无论是对数据中心、网络边缘、移动设备亦或是云。在各位首席信息安全官的协助下,这些管理者开始明白:要想阻止悲剧发生,就应该将防御设定为主要目标,并成为在安全方面投资的决策基础。对于那些希望能够说服管理层的首席信息安全官来说,最重要的是要能够向其展示一套完整的安全方案是如何实现包括云在内的各类安全的,以及最终是如何消除业务风险、阻截网络攻击的。