作为CBTS公司的首席信息安全官顾问,我经常与CIO和 IT 战略领导者交谈。通常,交流的重点是安全问题,以及在年度预算中优先考虑业务环境中的安全技术支出。我还帮助他们考虑,当新项目提交给董事会以寻求资金支持时,何时该让首席信息安全官参与进来。
一个正受人关注的项目是数字转型。有时这种关注来自于CIO,有时则来自于另一高层领导。首席财务官可能会看到老旧硬件的经常性支出每年都在增加,以及维持遗留系统运行也需要资本支出。
没有一个首席财务官希望自己的资本支出或运营成本的预算每年都呈上升趋势,除非有相应的收入增长。
从老旧技术迁移到现代云环境,这具有很强的吸引力,而且可以带来利润,但你要确保首席信息安全官在开启这一对话和战略时就参与其中,而不是在产品和供应商被选定后再参与进来。
如果CIO清楚,从内部可靠运行且有良好安全保障的内部解决方案迁移出去所带来的风险,那么企业的情况会很好。但是,如果制定战略决策的人在没有计算风险的情况下就把非常安全的企业数据转移到云环境中,那么就有可能遭遇数据外泄或勒索软件事件,从而把自己的数据泄露给竞争对手。
为了最大限度地降低数据泄露或数据丢失的风险,企业领导者需要做的是确保自己了解如何实施数字化转型项目。如果你存储在云端或移动设备上的数据丢失、被盗或遭到破坏,那么数字化转型的战略利益可能会很快丧失。
对于大多数公司来说,数字化转型有三个主要组成部分:弹性、规模和上市速度。
企业领导者希望放弃传统的业务环境,因为在这一环境中,更新升级很复杂,很难维护和打补丁,因此增加容量很困难或很昂贵。云端环境可以更容易更新升级,可以根据需要迅速灵活地扩大或减小规模,以及拥有一个可迅速调整以满足市场需求的灵活环境。
你可以通过以下常见方法来改造遗留应用程序:
- 将自托管的总账和工资应用程序迁移到云托管的解决方案。
- 提升自己的网络影响力,升级为移动端优先的网页设计。
- 整合物联网设备,以加深市场渗透和使客户快速接受。
- 过渡到基于订阅方式的产品或服务。
- 使员工能够随时随地在任何设备上工作。
你可能会想知道:为什么 IT 部门没有加入转型的行列?原因往往是缺乏资金。
德勤公司在 2020 年的一份报告指出,IT 部门平均将 56% 的预算用于维护,只有 18% 的预算用于创新。好吧,我会把可用的资金来淘汰遗留应用程序。
你可能在想:“增加预算可以解决这个问题!”但没有那么快。波耐蒙研究所 2022 年的一项调查报告显示,超过 70% 的受访者认为自己的企业经历了数据泄露,因为他们向第三方供应商授予了过多的访问权限。
创新和安全需要齐头并进。
当进行创新和使用新的云服务时,你需要使用新的安全工具和管理机制进行保护,并监测谁可以访问数据,以及他们可以用数据做什么。安全工具需要从堆栈上移到应用层,以重点关注数据。其目标是保护数据,而不是设备或网络。
确保数字化转型项目平稳推进,需要关注四个安全领域
1. ZTNA:零信任网络访问不是一个可以购买的产品,更确切地说,它是一种方法,其前提是任何用户或设备都是不可信的。用户和设备在被授予访问权之前需要进行验证。
2. TPRM:第三方风险管理是风险登记册的一个主要组成部分。当你将应用程序迁移到云托管解决方案或亚马逊网络服务/微软云 (AWS/Azure) 时,你无法再控制谁可以访问数据中心;你是将自己的数据和系统托付给第三方。你需要确认,第三方是否已经部署了自己想要的安全流程和程序。任何存储、传输、处理或可以访问你的数据的供应商都需要进行第三方风险管理。
3. 物联网:像 Alexa、Siri 和谷歌家居 (Google Home) 等物联网设备就是你如今客户所处的位置。数字化转型将导致无数的设备与你的数据进行交互,并可能与你的系统进行交互。你的数字化转型项目首先要关注于人们能发出请求的移动设备。但你也要为物联网设备进行设计,以便这些设备能与你的云托管应用程序进行交互。当你做这些工作时,你需要意识到自己与这类设备交互时伴随的安全问题。
4. CASB:全新的云应用需要自己的安全团队使用云安全控制措施,例如云访问安全代理 (CASB)。CASB 是云原生的安全工具,可确保业务环境中的用户只能访问安全策略允许他们访问的云服务。云安全态势管理 (CSPM) 是另一种工具,可以监控云环境,并在安全权限设置不正确时向你发出提醒。