企业想使用基于云的服务和应用;但是,安全团队需要评估风险,并且提出适用于云环境的控制方案。听起来很简单,对吧?然而,保护云资产带来了数不清的挑战——因为云供应商缺少透明度,控制方案无法天生适应云环境。并且最常见的忧虑之一正是CISO所关注的:为业务里更多的云风险制定所有权。
CISO尽力应对很多安全责任,包括审查技术性项目团队,并且沟通云风险以及可能需要说服其他执行官和董事会成员。不幸的是,常见的误解是信息安全组织“负责”IT项目的风险,无论是本地项目还是云项目。对于那些尝试更为灵活能够适应快速变更以及具有挑战的业务需求的CIO来说,在和其他利益相关人讨论云供应商,安全控制和部署场景时,很容易就会忽略这些问题。
安全官们站出来控制风险评估相关的探讨,并且完成审核的时候到了。这样业务所有人才能够实际理解提出的云风险并且为之负责——而不是由信息安全组织来负责。
1.成熟的风险评估
在很多公司里——至少,在我工作的公司里,安全团队仍然挣扎着开发并且实现成熟的风险评估,以及审核云项目的流程。原因有很多——安全团队没有足够的资源,管理层漠不关心,对变化反应很慢,从DevOps团队回推回来等等。从供应商管理那里买入和采购团队,让法务团队参与,这些对于正确评估合同风险至关重要。安全官们必须平衡输入和所有团队的参与,提供云风险相关的客观建议。确保商业领导者理解如下几点很重要:
将资产挪到云上并不会免除公司保护自己系统,应用程序和数据的责任。
在披露云控制以及内部安全实践和流程里,云供应商并不是完全透明的。任何风险相关的讨论,以及对某些风险的接受,都必须警告所有利益相关人,他们很可能会需要基于受限的信息做出决策。
在进行任何云部署之前,都需要仔细审核合规需求,并且这要求额外的资源和时间。另外,对于受合规以及监管法则管控的数据,任何选中的云供应商必须能够满足所有这些必需的需求。
法务和供应商管理团队需要仔细审核所有合同语言,这也要求额外的资源和时间。任何新的云服务供应商需要在业务部门签署应用程序和服务合同之前彻底地仔细检查。
很有可能并非所有内部的安全控制和流程都能在云环境里工作,这可能会危害到合规状态,或者显著增加云风险。
要想创建出和当前内部安全状态同等的安全条件,很可能需要额外的产品和服务。审核所有可选的方案需要时间和资源,很可能需要额外花费来确保云上的覆盖率。这些花费还需要适应云团队建议的财务和定价预测。
2.云安全策略
在任何公司里,董事会和CEO会最终负责新的IT项目带来的任何风险,并且会对决策带来的任何违反或者妥协场景负责任。但是,安全官们必须确保业务领导者意识到他们实际上在做什么,并且对这些风险负责。通常的看法是数据保管人——通常是IT团队,负责新项目期间导致的云风险。解除这样误解的最佳起点是开发出包含下面几点的全面的云安全策略:
清晰定义高层执行官:没有高层执行官或者组织,云策略很可能就得不到在公司内贯彻执行所需的足够支持。云安全策略还必须包括一些声明,比如谁会“签发”云供应商。是CIO吗?
数据类型和分类,明确哪些能够放在云上哪些不能,或者首先需要什么样的控制或额外度量。
需要解决的合规要求,如果有的话。
CISO必须确保对云计算服务的使用符合当前现有法律的要求;符合IT安全最佳实践、标准和需求;符合风险管理策略。这也适用于隐私法规和规范。确保执行官或者团队显式签署所有云计算的使用也很重要,并且他们要接受到文档化的云风险评估结果的通知。直到流程在公司内被接受,云项目的真正风险负责人才不会出错——需要负责的是资深执行官和数据所有者。