01 JAN

在云中存储数据时的安全注意事项

云计算技术并没有花费很长时间成为全球业务的基本支柱。在短短五年时间里,云计算已经发展成为数字时代增长的必需品。无论是重塑IT功能,推动新服务,提供更大的网络灵活性或者推动创新,显然这项技术正在支持未来的业务服务。

虽然云计算无疑带来了一些重要的好处,但它也以网络安全威胁的形式带来了新风险,其影响可能对企业业务发展产生不利影响。例如,波洛蒙研究所最近发布的一份报告显示,数据泄露的平均总成本从低于10000条泄露记录的事件的220万美元到超过50000条泄露记录的事件的690万美元。财务影响显然是企业对于安全的一大关注点,但它只是考虑的风险因素之一。企业还将面临无法挽回的名誉损失和客户信任的侵蚀。

如果互相指责的文化不好,那么良好的安全文化应该是什么样的呢?毕马威的 Parr 表示:良好的安全文化应该是,人们本能地理解与日常活动相关的风险,知道并有信心能够减轻或处理这种风险。我们必须摒弃 “一切都很好,CISO会为我们处理好一切” 的想法。

以下是 Parr 和 Park 认为首席信息安全官们为建立一个强大的安全文化需要努力的四个关键方面。

1. 让安全易于理解

自从 Parr 成为首席信息安全官一年多前,毕马威英国一直在改变其公司内部安全文化和教育方法的进程中,确保该公司在 27 个不同地方的 16000 名英国员工能够达到一致的安全意识水平。Parr 表示:良好的(文化)是指人们对信息安全感到自信和舒适,而不觉得这是一门科学或一个魔法。

建立安全意识文化的一个关键是使其与受众产生共鸣,因此毕马威的安全教育内容已被尽可能用通俗易懂的语言来表达,并精心设计了适用于员工的场景。Parr表示,他想让人们像对待工作上的信息安全一样对待家庭信息安全,通过设定真实的场景,给人们明确的方向是关键。

无论你是引导客户走到会议室的前台员工,或者你负责提供审计,或者你在一个技术团队正在帮助客户解决一个技术问题,语言是相通的,他们都能以同样的方式理解信息安全。

让人们了解这些基础知识会让终端用户更容易理解,反过来他们也会更认真地对待企业的信息安全,因为他们想象得出犯错的后果。Parr 表示,责任感是成功的关键。如果人们觉得自己明白为什么要对数据的处理和管理负责,那么事情就成功了一半。

2. 提供持续的意识训练

作为这种文化变革的一部分,毕马威已经从实时演示和评估转向为 Parr 所描述的通过活动、培训、视频和播客的 “一种持续的意识训练”。 看着 PPT 上的幻灯片,尽可能快地浏览一遍,最后回答20个问题并希望你能通过考试,这并不能向我证明什么。这只是显示了你从幻灯片中获取信息的能力。让人们明白有一些规则和指导是可用的,知道他们能做什么,不能做什么,以及他们应该扮演什么角色。

Parr 首先发布了一份非常简单易懂的政策文件。这份文件被浓缩成一页纸的标题,以便在人们有时间阅读的时候抓住他们的注意力。然后发展成一个他们在上班的火车上可能会看的三分钟短视频。这是为了保持活动的节奏,这样人们就会一直被提醒。

虽然评估这种文化带来的影响可能很困难,但 Parr 与公司的学习和发展团队合作,围绕公司有多少名员工在收听播客、观看视频和参与到团队正在制作的其他安全教育中,创建了参与度指标。这些指标可以用来衡量安全教育材料是否能引起员工的共鸣。

我还需要不断思考与员工互动的新方式。不仅要让他们认清安全现实,还要让他们更多地参与到我想实现的目标中来。

为了让更多的人参与到安全教育中,组织机构的领导层会定期发送信息鼓励人们观看、阅读和聆听安全材料。“业务信息安全人员” 作为信息安全主题方面的专家,负责生产活动。他们鼓励员工更直接地参与其中。

3. 在影子IT问题上与员工合作

指责员工使用未经批准的应用程序 (称为影子 IT),与因安全问题而解雇他们一样,都是不明智的行为。影子IT问题长期以来一直存在。 它背后的驱动因素实际上是IT系统的广泛存在;无论是软件还是硬件,无论是在家里还是在其他任何地方。

Park 认为,人们并不坏,他们没有试图利用影子 IT 来故意规避公司政策或公司安全措施。一般情况下,他们只是想更好,更快,更轻松地完成工作做。这对 IT 和安全工作来说是一种失败;IT 和安全部门可以从拦路虎变成推动者,确保人们拥有完成工作所需的工具。

Park 表示,影子 IT 可以是 SaaS 服务或未经批准的桌面应用程序,到他所说的 “更小但有同样影响力的影子IT们”,比如集成到 Slack 或 JIRA、浏览器扩展,甚至是公司网络上类似亚马逊 ALEXA 的设备。无论影子 IT 以何种形式出现,IT 和安全部门都需要更开放地接受它。因为如果人们担心违反公司政策会受到惩罚,他们永远不会告诉你他们在做什么。

我们需要更明智地对待这个问题。不管怎样,它总会发生。如果使用这些外部工具带来风险是有限的——比方说,有人想用一个设计工具来做品牌和图形,而这些内容并非特别机密——那么在这样的情况下风险很小。你需要给人们一定程度的灵活性。

4. 展示什么是好的

改变公司内部的安全文化也意味着安全团队思维方式的改变。正如员工希望 CSO 成为一个优秀的沟通者和领导者一样,安全团队也需要跟进,既要引人注目,又要平易近人。

Park 表示,在过去的十年里,他们并没有做好工作让人们更容易理解安全性。他们很难用通俗易懂的语言来表达,很难在不阐明根本技术问题的情况下解释风险。

相反,他说关于安全问题需要以一种更类似于健康和安全警告的方式传达信息。向别人解释为什么他们不应该在没有个人防护装备的情况下爬梯子是很容易的,因为后果显而易见。向别人解释为什么他们应该使用 SharePoint,而不能使用 Dropbox 不容易是因为在他们看来,SharePoint 不会产生像爬梯子没有防护措施那样的影响。

我们需要真正投入并进行教育工作,确保人们了解自己在做什么,明白如果他们弄丢了某些文件或知识产权会发生什么,但也要赋予他们权力。具体问题具体分析会带来巨大的价值。

Parr 一直在与安全团队合作,改变他们的思维方式,让他们成为自己试图在公司中建立的文化的代表和拥护者。

他们展示了什么的是好的,他们也在不断地向我们的同事展示什么是好的。在很长一段时间里,信息安全一直被看作是一盆浇在人们美妙主意上的一盆冷水。但并不是那样的。我绝对是为了帮助企业了解我们如何才能运转和进步,但要做到安全稳妥。

随着数据泄露事件越来越多,该行业也推出了一系列新法规,如GDPR法规和云计算法案,这些法规的实施是为了保护企业和消费者。因此,拥有正确的安全态势从未如此重要。但从哪儿开始呢?企业应该考虑什么来确保其拥有存储在云中数据的网络安全?

云计算139

对于AWS云平台,无论企业业务规模如何,都应将安全性融入任何云计算产品的结构中。在开始使用时,在部署期间与客户合作需要注意一些关键事项:

1. 数据分类-为数据创建明确的规则和策略

首先,企业必须根据业务的隐私和安全政策、所在国家/地区的合规性法规,以及其他法规和法律(如GDPR)对其数据资产进行分类。有效的数据分类过程非常重要,因为它可以帮助确定网络中所需的控制级别,并保持数据的机密性和完整性。

通过遵循这一分类并在设计ISMS(信息安全管理系统)时进行输入,企业可以确保其拥有满足法规遵从性控制的安全技术,其包括端到端加密和防御网络威胁等功能。

2. 使用最小权限模型

了解和限制谁有权访问企业的数据,这对于降低风险和最大限度地减少人为错误的影响至关重要。通过引入权限模型并严格控制资产的访问权限,企业可以保持对网络的控制,并保护企业业务免受日益普遍的威胁。为此,只需强制执行始终授予最小访问权限的策略,具体取决于用户所需的权限级别。企业需要遵循云计算供应商的身份访问管理(IAM)最佳实践,并有意识地要求具有满足企业需求的灵活性和严格安全策略的功能。

3. 使用可用工具监控和跟踪访问和使用情况

使用云计算供应商的工具进行记录,持续监控访问并了解平台的活动和使用情况。确保企业具有监视历史登录的工具,并保存这些记录以供审核。通过这样做,企业可以在内部威胁发生和严重违规发生之前识别出行为的变化。

有许多工具可以帮助企业定义和跟踪指标,当有人访问或更改存储在云中的数据资产时,这些工具也应该能够提醒企业。如果这些工具可以发现数据资产中的敏感数据,需要使用。

长治

4. 应用保护内容的规则

与企业的云计算供应商和团队合作进行版本控制和加密,以保护其内容。例如,Amazon S3的默认加密提供了一种为S3存储桶设置默认加密行为的方法。重要的是,当企业使用服务器端加密时,Amazon S3会在将对象保存到其数据中心硬盘之前对其进行加密,并在下载时对其进行解密,从而保护本地和传输中的数据资产。通过实施这些规则并与云计算供应商合作部署必要的加密,无论数据的迁移情况如何,企业都可以保护其内容免受复杂的安全威胁。

保护企业在云中的数据

毫无疑问,未来业务需要云计算技术的支持,因为它将为企业创新提供机会。然而。企业保护存储在云中的数据时需要仔细考虑,并与合适的合作伙伴协作,采用最适合企业业务的解决方案。从根本上说,企业必须考虑业务需求和理解,以及流经企业网络的数据分类,并向员工宣布采用云计算的好处,并进行云安全挑战的教育。

通过实施安全性,遵循这些简单的步骤并拥有与企业业务同样扩展的适合云计算的合作伙伴,企业可以应对并缓解最常见的安全威胁。