随着企业采用云优先,供应商管理变得更加重要。企业正在与多家供应商合作,将工作负载迁移到云端。几乎所有的企业都制定了多云战略,选择不同的供应商来提供关键功能并避免单独采购的业务连续性风险。
随着围绕云安全的大量营销,一些领导者可能会认为他们的云合作伙伴承担这些风险的所有责任,但事实并非如此。
超大规模企业及其客户对保护云基础设施、应用和数据负有共同责任。领先的云服务提供商将提供身份和访问管理(IAM)、威胁检测、网络和应用保护、数据保护和事件响应。他们还将提供合规服务,使客户能够满足领先的行业法规,例如健康保险流通和责任法案(HIPAA)和支付卡行业数据安全标准(PCIDSS)。
然而,企业最终对其设备、应用和数据的安全性和健康负责。这就是为什么许多人采用分层安全方法,在整个环境中进行控制。他们还使用零信任模型,这意味着对每个连接进行身份验证,持续识别可能表明未经授权的访问尝试的行为异常。最后,许多企业正在采用云原生工具来发现、监控、保护和修复数据。
风险评估的重要性
组织经常错过通过记录关键供应商,并完成风险评估来更全面地了解风险的机会。此流程应在加入新供应商之前完成,并根据供应商的风险状况定期更新。
作为此流程的一部分,IT团队将评估其潜在或当前合作伙伴的安全协议和流程、他们将管理哪些数据和应用,以及是否有其他企业将支持这项工作。然后,他们可以使用这些风险评级来确定是否与供应商合作,或要求他们在与供应商合作之前纠正风险。企业还可以通过与多个提供商合作或制定在不满足服务级别协议时,转移到另一个提供商的计划来提高业务连续性。
第三方和第四方带来的风险日益增加
尽管许多企业认为他们了解第三方风险,但这种信念可能是错误的。调查发现,超过80%的法律和合规领导者在初次入职和尽职调查后发现了关键的第三方风险,因此他们将2.5倍的提供商列为高风险。此外,大多数组织的风险评估工作都集中在尽职调查和重新认证上,只有27%的组织负责审查合作关系过程中可能出现的新风险。
更不为人所知的是第四方或分供应商带来的风险。云服务提供商有无数各方帮助他们维护和运营其业务,其中一些可能有权访问客户数据和系统。实施零信任计划、强制授予最低权限以及检查安全数据是否存在异常可以帮助企业降低这些未知风险。
了解云安全责任
选择供应商后,风险缓解工作继续进行。团队将详细审查合同,创建角色和职责矩阵,并与合作伙伴协调灾难应对计划。
云服务提供商提供许多不同的功能,但并非所有功能都默认启用。因此,它们可能需要正确配置才能启用可降低风险的新安全功能。举例来说,确保PCI合规性要求IT服务提供商及其客户完成关键行动。
其他示例包括多重身份验证(MFA)和数据丢失防护。MicrosoftOffice365和Microsoft365寻求强制执行MFA,但必须由每个用户启用。Johnson表示,Office365等云服务中的DLP也必须进行配置,而且这不是一个简单的过程。
此外,企业需要制定如何处理安全和合规数据的计划。Office365使组织能够管理和监控用户发送敏感数据的尝试,例如包含社会保障或信用卡号码的内容。但企业IT团队需要确定是否只是报告这些尝试、阻止它们,还是与其他员工或合作伙伴加密共享这些数据。
IT团队可以通过深入审查合同、适当配置服务并确保供应商之间的配置一致来建立成功的供应商关系。例如,当使用集中式数据库或第三方工具是更好的选择时,企业可能会跨云分散身份和访问管理。
通过使用这些策略,企业可以改进其供应商风险管理实践。它们将降低禁用中断、数据泄露或其他可能损害性能并造成客户问题的问题的风险。