揭开云安全的神秘面纱 在安全性方面,IT的最佳举措是许多CIO犹豫不决的举措。 白皮书 简介:冲突的业务驱动因素 如今,首席信息官们在实现业务目标和确保信息安全之间面临着微妙而艰难的平衡。市场变得越来越全球化,产品生命周期不断缩小,利润率不断下降。组织需要他们的财务、人力资源和规划系统变得敏捷,并能够像业务一样迅速地改变。 然而,系统的复杂性正在增加。企业将更多的应用程序部署到比以往更多的端点。黑客已经从孤立的反社会者发展成为依靠尖端技术的高度组织的团体。最后,IT预算正在增长,尽管增长缓慢:国际数据公司IDC预计2017年预算将增长3.4%。因此,许多CIO都在努力寻找抵御攻击所需的资源。 云计算帮助IT主管满足这些冲突的目标。这些解决方案是在现代架构上设计的,比基于预协议的系统更加流畅。此外,云能够比传统系统更好地处理威胁。 然而,高管们经常不愿将信息转移到外部。他们错误地认为 ,他们的IT员工最有能力保护敏感信息。要想成功,首席信息官们需要克服传统的安全(内部部署是最好的)心态,并将最重要的应用程序的管理交给云提供商。 赞助 当前的商业环境 如今,每个行业的竞争都很激烈。技术已经打破了传统的地理障碍。产品的生命周期正在缩小。获取信息越来越成为公司的关键差异化因素。 许多非常成功的企业都建立在——现在依赖于——基于本地的解决方案。这些系统是 在云技术出现之前就设计了,所以他们的基础设施来自去年,这带来了一些挑战。IT部门管理着广泛且不断增长的自动化孤岛:硬件、网络设备 、存储解决方案以及数量迅速增加的应用程序。因此,IT人员在日常维护上花费了大量时间:配置设备、更新软件、分配存储和监控网络流量。 Theendresultisefficientcommunication,unrealizedoppor-tunities,andlostproductivity.Increasingly,CIOhavebecomediscussionwiththesesystems,accordingtoanIDCsurveyof569CIO-levelexecuantsatlargeenewords: •十分之六的IT领导者报告在执行管理层的战略业务计划时遇到了一定程度的挑战。 •只有五分之一的首席信息官认为他们的组织在分享劳动力/财务信息方面做得非常出色 。 •同样,只有五分之一的人说他们擅长提供劳动力和财务见解。 显然,老式的IT基础架构正在减轻压力,而不是增强公司的抱负。CIO 花费时间和金钱来维护已经达到生命周期尽头的系统。需要进行更改。 云为企业提供所需的灵活性 云为企业提供了解决这些问题的方法。WorkdayInc.全球首席信任官JoshDeFigueiredo说:“公司在核心业务上投入了大量资金,从而提高了收入,对于大多数公司而言,安全运营和IT并没有落入这一目标。”最高管理层通常将这些部门视为成本中心。 借助云,CIO可以改变这个等式。组织将后台维护卸载给第三方,以便IT能够响应业务需求,例如寻找改进营销、更好地为客户提供服务或简化业务流程的方法。因此,IT的概况成为战略业务驱动因素,而不是消耗成本的中心 。 安全是1号工作 在评估云时,首席信息官经常质疑其安全性-有很好的理由。网络犯罪已经从个人的爱好发展成为产生数十亿美元的业务。不良行为者已经变得老练。企业不再受到父母地下室中适应不良的青少年的攻击。相反,这些活动来自受过良好教育的计算机- 精明的(通常是拥有高级计算机科学学位的个人)特设小组,有时甚至是有组织的犯罪。 网站出售新手盗贼可以用来闯入企业系统的入门套件。因此,潜在威胁的性质一直在变化: •黑客正在利用DevOps并更快地发布其工具包。因此,发生了更多 的攻击,并且企业系统处于24/7的包围之中。 22% 资料来源:IDC/Workday“转型促进全球增长”调查,2016年8月基础:569名CIO级高管 •糟糕的代码变得越来越复杂。自2015年1月以来,联邦调查局发现商业电子邮件妥协增加了1,300%,例如骗子入侵合法电子邮件帐户并将其用于欺诈性电汇。这一骗局使组织损失了数十亿美元,已在所有50个州和100个国家/地区实施。 此外,企业系统安全态势也变得更加复杂: •组织现在有了更多可能的端点。用户使用越来越多的设备。桌面系统已经补充了笔记本电脑、智能手机和平板电脑。过去,员工依赖微软Windows,但今天他们使用Android和IoS。Android以开放著称,这鼓励了大量开发,但也不是很安全。 •黑客正在攻击更多的入口点。从历史上看,他们专注于闯入企业网络 oIDG发现,现在他们在应用程序级别寻找漏洞,但只有不到一半的组织部署了安全解决方案来保护这些入口点。 •由于DevOps,财务、人力资源和规划应用程序变化很快。供应商以更快的迭代提供软件。供应商不是每隔几个月发布一次主要版本,而是每天提供多次更改。这些系统具有许多移动部件和互连。升级完成后,IT部门必须监视所有关联的连接,这是一项复杂且耗时的任务。 ThePremisesChallenges 传统的场所员工很难跟上当今的网络威胁。补丁管理流程是为昨天的威胁环境而设计的,当时攻击简单、容易隔离且零星。如今,IT的移动速度往往太慢,无法跟上威胁的步伐,因此许多企业系统都很脆弱。 CIO没有足够的人力来弥补所有可能的安全漏洞。即使有可用的资金,该公司也可能很难找到一流的安全专业人员。供不应求。 此外,监管机构意识到网络安全已经成为一个紧迫的问题。作为回应,他们要求business-nesses主动保护他们的客户数据,否则他们将面临可能的制裁。 因此,IT经理发现自己处于不稳定的位置。旧的,基于场所的部署系统的方式根本不能很好地转化为当前的业务需求。 云或本地安全:哪个最好?首席信息官明白他们需要保护关键信息 。由于财务,人力资源和计划系统中包含重要的敏感信息,因此需要一定程度的恐惧。但是,许多CIO和CISO担心出于情感而不是自然的原因而离开他们的传统系统。改变往往是困难的。一些管理人员对云感到不舒服 ,因为他们的数据不再位于他们的数据中心。 但是,关于数据安全性的最重要的问题不是数据所在的位置,而是数据的安全性。因此,今天的CIO需要问:与专门保护客户数据安全的供应商相比 ,我的IT部门能否更好地保护我的公司数据?越来越多的答案是No. 只需查看每日头条新闻即可找到问题的证据。美国最大,最先进的技术公司发生了入侵。在某些情况下,破坏了数亿甚至数十亿的记录。 坏人已经变得老练、资金充足 、无情。他们只有一个目标:侵入你的系统. 如前所述,坏人已经变得老练、资金充足和无情。他们只有一个目标:侵入你的系统。首席信息官有更广泛的任务;他们的首要任务是改善业务。“安全不是大多数企业的核心能力,”Workday的DeFigueiredo说。 也不是他们的重点。相反,IT部门需要开发对底线产生切实影响的解决方案。管理层希望改善客户服务,创建新产品或减少支持费用。保护信息通常在优先级列表上较低。 对于云解决方案提供商来说,情况正好相反,他们必须将安全性作为首要任务,因为通常,潜在客户会问的第一个问题是:“您将如何保护我的数据?” 与受传统系统架构拖累的企业不同,云供应商在其解决方案中设计了安全性 从一开始就创建他们的业务。他们知道他们必须抵御来自成熟的敌人的复杂攻击。 因此,在服务的各个方面都内置了严格的保障措施,因此它们提供了最高的安全性。云计算钳使用业界最先进和可扩展的安全解决方案来保护机密数据 。与企业不同,他们可以通过在安全方面进行数百万美元的基础设施投资来证明自己的成本。一流的安全性是克服客户恐惧,使自己远离头条新闻并遵守合规法规的必要条件。 在云系统中寻找什么 “并非所有云解决方案都支持相同级别的安全性,”DeFigueiredo。由于供应商提供了广泛的功能,因此企业在将业务投入服务之前需要仔细检查四个方面。 1.信息访问 第一个领域是解决方案跨部门共享信息的能力。IDC/Workday调查发现 ,能力是CIO实现其三大业务目标的关键:改善客户体验,提高组织敏捷性以及引入新的数字收入流。 跨部门共享信息对实现三大业务目标的重要性 IT领导者评价它的重要性或重要性 提高客户体验 64% 提高组织敏捷性 63% 介绍数字收入流 50% 公司运行数百甚至数千个互联应用程序来支持其操作。传统的解决方案将信息存储在许多不同的地方,因此保持这些系统同步是一项繁琐的工作。IT必须在各种应用程序之间创建链接,然后确保在所有应用程序之间中继更改。当一家供应商升级其解决方案时,该部门必须了解这种变化是如何在其系统中产生的。 真正的多租户SaaS是一个更好的设计。在这里,人力资源、财务和规划系统数据存储在一个应用程序中。这种中央设计有很多好处。所有的系统都在一个共同的框架下工作,所以在数据中没有不一致。系统不必担心哪个客户使用的是什么软件版本;它们都来自相同的蓝图。因此,在系统与其用户之间不存在断开,这对于许多传统系统是典型的。 此外,通过不断更新、扫描和修补软件的单个版本,安全性得到改善。这比使用多种解决方案要容易得多。客户可以获得顶级的安全功能,并且对系统体系结构的任何更改都将同时传递给所有客户。如果财富500强企业需要严格的新安全功能,中小企业也可以使用它。 2.安全融入系统设计 隐私和安全从一开始就嵌入到系统中。每个客户配置系统,使其与该组织的业务流程保持一致。客户规定每个人-或系统角色-可以看到和做什么。当人员或组织发生变化时,系统会自动进行调整。通过将HR解决方案与企业身份管理系统相结合,该解决方案可确保企业应用程序依赖于最新的用户凭据。心怀不满的前雇员无法使用他或她的证书来造成严重破坏。 更明显的可见性。现代的内存数据存档结构使所有系统数据都可以实时访问 ,从而允许连续访问电子审计证据。此外,系统是自我记录的,因此每个流程更改都会被记录,包括谁进行了更改以及何时进行更改。此功能为审核员提供了全面的记录 所有交易,并简化了完成内部和外部审计所需的财务和运营记录的汇总 。预先配置的审计师报告和仪表板还实时显示趋势(例如,当越来越多的员工提交保单外费用报告时),以便快速解决问题。 3.加密的好处 在过去,公司依靠防火墙来保护信息。这个想法是,一旦企业避开了局外人 ,信息就安全了。这种想法已经过时了。黑客攻击不同级别的系统,有时会取得成功。一旦进入系统,他们就会留下来,经常从低级别的安全许可到高级别的安全许可和妥协的敏感信息。 公司如何保护自己?加密。通常,数据在传输过程中被加密,这是第一步 ,而不是最后一步。一旦信息进入数据中心,它就不会被加密,而且是赤裸裸的,容易受到攻击。为了解决这个问题,组织需要在永久数据存储中加密静态信息。 5 根据Workday的DeFigueiredo的说法,现实情况是,基于不同的25年历史的传统架构构建的云服务很少支持所有静态客户数据的加密。 原因之一是加密解决方案难以实施,因为软件很复杂。管理加密密钥需要时间、金钱和人员。使用现代云架构,供应商承担了这些责任。 4.支持第三方标准 行业和政府组织设计了各种合规性框架(请参阅侧栏)来保护客户信息。然而,规范只是一个起点。客户需要深入了解各种标准,并获得供应商如何实现安全性的透明视图。所有云提供商都声称拥有安全的系统,但很少提供企业的财务、人力资源和规划数据所需的更高级别的保护。 企业如何从切换到云云适合当今公司的运营方式:具有灵活性、敏捷性和安全性。它使企业能够快速响应不断变化的业务驱动因素,并获得对运营的洞察。如果需 要进行更改,公司可以快速、高效和有效地做出响应。IT专注于业务应用差异化,而不是平凡的维护。 其结果是一系列戏剧性的业务改进: •一家公司将11个财务和人力资源系统合并