首席信息安全官应该回答的三个云安全态势问题

2022-10-25 04:50:31

现在，争辩是否选用云核算技能的日子现已结束了。大多数企业都将业务迁移到云核算渠道中，迁移了应用程序、数据和服务，以呼应技能的前进和业务改变。

跟着顾客期望和技能的开展持续影响企业收集、存储和同享有价值数据的方式，保护数据免受现有和高级的持续要挟的作业变得愈加杂乱。

首席信息安全官有必要准备好协助IT团队和安全团队应对不断改变的云安全要挟。以下是每个首席信息安全官都应该回答的关于云安全态势的三个问题。

1.企业的危险偏好是否与云核算策略一致?
企业需求了解自己的危险偏好，这是一个很好的时机，可是从云核算策略的视点考虑危险偏好是很重要的，因为云核算运营形式固有地引入了新的安全危险。

许多要素会影响企业的危险偏好，其中包含以下要素：

职业监管和合规状况;
全体员工的知识和阅历;
员工人数和地点;
硬件、软件现代化状况;
IT和业务目标;
办理过程和程序的老练度;
从前的网络要挟事件;
共同的客户根底。
各个职业安排的危险偏好都是不同的，例如医疗设备草创公司的首席信息官与传统银行的首席信息官有着不同的危险偏好。

一旦企业建立了危险偏好概况，就要评价该度量是否与企业的办理、危险和合规性需求相一致。

云核算战略和网络安全战略应该同步运行。至少，IT安全团队应该理解不同的云布置模型带来的应战。他们还应该接受云安全最佳实践方面的教育，包含支持资产办理可见性的云原生安全渠道。

假如网络安全战略和云核算战略不一致，那么是从头审视这两方面的时分了。

2.企业的网络安全模型是否满足老练和是否合适云核算?
依据企业的安全能力和从前的出资，这个问题或许很难回答。

将云集成到现有的企业安全程序中并不是要添加更多的控件或东西。这需求对企业的资源和业务需求进行评价，以便为其企业文化和云安全策略开发一种新的办法。

办理内聚混合云或多云安全程序，建立可见性和控制，并经过有效的要挟办理编列作业负载布置。

运用正确的东西取得可见性对于每个安全团队来说都是至关重要的。但是，首席信息安全官在监督日常安全操作时并不知道确定云安全模型是否满足老练。与其相反，答案应该在很大程度上取决于安全态势办理评价的成果。

在持续的根底上进行安全态势办理演习。这种评价旨在经过持续的监控和审计，提供有关企业现有安全操作计划和总体违约准备状况的可操作情报。

并非所有的网络安全模型都是为支持当今的云核算运营模型而规划的。安全态势办理东西能够自动识别和纠正跨云根底设施环境的危险，包含IaaS、PaaS和SaaS。此外，企业能够运用云安全态势办理进行危险可视化和评价、事件呼应、合规监控和DevOps集成。这种评价还能够将云安全的最佳实践统一应用到混合云、多云和容器环境中。

经过花费时刻评价云网络安全模型的老练度，企业更接近于预测IT团队和安全团队或许需求采取的措施，以保护数据不受下一个技能前进或顾客行为改变的影响。企业离优化安全策略以契合云核算相关业务需求又近了一步。

3.企业的网络安全形式左移了吗?
安全左移触及在整个应用程序开发生命周期中整合网络安全措施和测验最佳实践。其意图是在过程中更早地识别和修正安全漏洞。这种办法需求在DevSecOps思维和能力上进行出资。假如实施得当，它能够加速上市时刻，同时节省时刻和费用。

以下是评价DevSecOps老练度的问题:

企业的云环境是否优化了装备以经过自动化下降危险?
企业是否选用了“根底设施即代码”、“安全即代码”或“合规性即代码”的结构，将安全要挟建模归入到架构规划中?
由于敏捷开发最佳实践的盛行和云核算技能的前进，应用程序开发现已阅历了这种左移。例如，自动化持续集成/持续交给测验、容器渠道和易于运用的公有云供应资源都变得越来越普遍——扩展检测和呼应、安全编列、自动化和呼应东西也是如此。这些东西能够处理日常的安全操作中心警报，编列适当的呼应，并对服务票据根底设施进行分类，以便对事件进行解释，而无需人工干预。

跟着应用程序开发和安全操作变得愈加自动化，这种左移的改变将持续取得动力。确保企业网络安全模型跟上开展潮流。

12年经验 · 提供上云保障

首席信息安全官应该回答的三个云安全态势问题

联系我们

部分客户（无排名）

代金券支持+赠送时间1-2个月

热门文章