-
雲端應用是企業數位轉型的重要一環,不過同時亦會為企業帶來新的資安風險。這些資安風險可以是來自 IoT 裝置或其他連接裝置,而風險的種類也不再侷限於商業機密資料外洩或系統攻擊,亦有涉及人員安全、個人資料,甚至國家安全。
企業在積極計劃進行數位轉型時,是否將資訊安全一併納入考量,以及企業內部的資安能力是否有辦法配合企業的不斷創新,是每一位資安長 ( CISO ) 的重大挑戰。
建立資安防禦策略前,CISO 需考量的面向
「資安」對一些廠商來說,可能是產品,可能是方案,也可能是功能。但站在CISO 的角度,「資安」除了是「技術」或「科技」外,更需要考慮的是企業內部的文化、能力、流程與資源等,例如:
-
從直接控制轉變為零信任的管理文化
傳統資安的管理方式主要是集中控制資源存取權限,但在零信任的環境中,沒有任何一方是可信的,所以需要將集中控制轉變為「共同責任」,此為文化上的改變,需要透過學習與制定各種授權機制去達成。
-
讓資安團隊與 CISO 建立一致的想法
資安從來都不是可以單靠個人完成的工作,而是需要團隊同心協力去執行的,特別是在零信任的營運環境中,CISO 與資安團隊需要有一致的想法,同時也需要與雲端團隊充分合作,以協助企業永續發展。
-
把傳統環境的資安能力提升為更敏捷的雲端資安能力
傳統資安團隊在工作中所運用的能力主要是資安管理與數位攻擊防禦。因應企業數位轉型的需求,資安團隊需要學習新的雲端資安管理能力,以配合企業發展。
-
配合更快速的雲端開發生命周期
雲端應用很多時候也會同時縮短應用程式開發所需的時間,資安團隊在配合雲端應用程式開發時,需要考慮應用一些自動化的方式,以確保雲端應用程式的安全性。
-
在提升團隊資安能力時平衡內部的資源壓力與可控風險
雲端提供了各種與資安相關的新技術,例如:雲端安全性態勢管理 ( Cloud Security Posture Management,CSPM ) 、雲端工作負載保護平台 (Cloud Workload Protection Platform, CWPP )、 安全性資訊與事件管理 (Security Information and Event Management, SIEM) 等,但同時也為資安團隊增加了學習壓力,若資安團隊能力無法因應企業資安防禦需求,將會變成新的資安弱點。CISO 需要在適當的時候調整所應用的資安技術、內部資源、以及外部的合作夥伴,以維持學習壓力與可控風險之間的平衡。
-
透過第三方或產業同行獲得更多洞察與經驗
資安是一個需要不斷學習和調整的旅程。CISO 可以透過不同的產業活動和合作夥伴了解到更多與資安相關的資訊、最新資安洞察、資安風險處理方式等,以提升企業的資安應對能力。
企業需要平衡創新與資安,而 CISO 需要思考在企業希望從數位轉型中獲得更多的商業價值時,以上關於資安的各種考慮是否都已做好萬全準備?
提供完善資安投資策略評估 蔚藍雲協助資安長建立安全營運環境
資安長需要關注的面向包含法規遵循、業務管理以及技術等三大重點,蔚藍雲深知企業在建立及推行資防禦策略時的挑戰與阻礙,提供完整的資安投資防禦策略評估,從人員、流程及技術等,從前期的企業內部資源盤點、資安投資評估、到後期的技術選擇與人員培訓等,蔚藍雲協助企業建立完善且符合成本效益的資安防禦藍圖,以達企業永續發展的目標。