點擊上方「藍色字體」,選擇 「置頂公眾號」
關鍵訊息,D1時間送達!
報告發現,儘管83%的IT專業人士表示他們將敏感數據存儲在公共雲中,但只有69%的IT專業人士表示相信公共雲能夠保護他們的數據安全。而近年來針對雲計算的網絡攻擊十分猖獗:據調查,使用基礎設施即服務(IaaS)或軟體即服務(SaaS)的四分之一企業的數據曾經被盜。與此同時,五分之一的受訪者表示他們遭遇了對其公共雲基礎設施的重大攻擊。
調研機構Forrester公司副總裁兼首席分析師Andras Cser表示:「我們在如何保護雲中的數據,如何將企業的身份轉移到雲端,以及如何確保網絡安全等方面進行了大量的調查。很多時候,我們看到一些企業甚至放棄了這個領域的安全項目。」
但是,Gartner公司信息風險研究主管Daria Kirilenko表示,首席信息安全官(CISO)經常不信任雲安全的原因比一些報告所暗示的更為細微。
「許多首席信息安全官(CISO)認為供應商的安全性實際上比他們自己部署的安全措施強大得多,但最終他們認為如果某些供應商出現違規行為,他們仍將對此後果負責。」Kirilenko說,「這是他們認為應該謹慎看待採用雲計算的主要原因。」
Kirilenko表示,首席信息安全官也傾向於認為他們的安全團隊沒有適當的技能在組織實施雲策略。「他們認為,對於組織迅速採用雲計算沒有準備好提供支持。」她補充道。
Kirilenko表示,許多安全團隊缺乏雲計算安全知識,因為大多數傳統的安全實踐不能遷移到雲環境中,而是必須重建。
「他們毫無準備,最終他們認為如果出現問題,可能會承擔責任。」Kirilenko說。
Kirilenko指出,即使供應商有過錯,對雲中違規的責任也往往會落在企業的首席信息安全官(CISO)身上。她補充說,首席信息安全官應該向高級業務利益相關者宣傳雲計算安全是由供應商和內部團隊共同承擔的事實,因為內部利益相關者犯錯時會出現很多安全問題。
Kirilenko表示:「首席信息安全官花費大量時間和精力建立一個強大的安全團隊,讓開發人員接受安全的雲計算流程,而不是花費所有時間來管理和監控提供商。如果他們花費精力建立強大的安全團隊,為現在實際上繞開安全的開發人員實施雲安全措施,他們將獲得更好的結果,但他們往往不能正確實施雲安全,而這增加了使用其雲供應商的風險。」
Cser表示,雲操作、雲架構或雲計算安全工作者通常負責雲安全,但通常會發現更多傳統安全工作者正在與新平臺進行鬥爭。
Kirilenko說,談到建立一個雲安全團隊時,尋找一位「獨角獸」公司或者某個雲計算提供商的專家來了解雲計算架構,並擁有軟體開發技能通常是不可行的。相反,首席信息安全官應該將他們的安全團隊視為一個技能組合。
「企業需要先了解自己真正需要的雲技能。」Kirilenko說,「很多時候,尋找那些知道並了解每個提供者內部和外部的個人並不是非常重要,這些個體可以隨著時間的推移而發展。」
Kirilenko說,相反,企業應該建立一支有個人優勢的團隊,加入其團體安全。例如,一名員工可能具備必要的軟體開發技能,另一名員工在企業架構方面經驗豐富,而另一位則在解決方案架構方面擅長。
Kirilenko表示,首席信息安全官也應該記住,他們不需要使用自己的團隊來構建所有的雲安全。還有一些公司建立了雲計算卓越中心,並將人員從應用程式和基礎設施等不同功能中輪換出來,並通過這些人員加強組織的安全性。
「許多成功的公司並不認為他們的內部安全資源是一種限制,因為他們知道制定雲計算策略是組織應該共同做的事情。」Kirilenko說。
Kirilenko表示,首席信息安全官也應該使開發人員容易遵守雲安全準則。成功組織的另一個實踐是開發一個通用安全平臺,其中包含API和參考架構,開發人員可以使用這些平臺快速了解如何在其應用程式中實施安全準則。
「企業需要考慮如何減輕利益相關者的負擔來做好安全的事情,並需要以簡單的方式實現安全。」Kirilenko說。
版權聲明:本文為企業網D1Net編譯,轉載需註明出處為:企業網D1Net,如果不註明出處,企業網D1Net將保留追究其法律責任的權利。
(來源:企業網D1Net)
如果您在企業IT、網絡、通信行業的某一領域工作,並希望分享觀點,歡迎給企業網D1Net投稿 投稿郵箱:editor@d1net.com
您還可以搜索公眾號「D1net」選擇關注D1net旗下的各領域(雲計算,數據中心,大數據,CIO, 企業通信 ,企業應用軟體,網絡數通,信息安全,伺服器,存儲,AI人工智慧,物聯網智慧城市等)的子公眾號。