Bezpieczna firma oparta o chmurę - konkretne porady trzech ekspertów

Podejmij decyzję

Jako lider ds. bezpieczeństwa, masz do wyboru trzy możliwości:

* Kieruj działaniami mającymi przenieść firmę do bezpiecznej chmury

* Reagują na decyzje innych, zwłaszcza w przypadku wyborów, z których nie jesteś zadowolony

* Nie bierz w tym w ogóle udziału

Program nosi nazwę „Leading Security Change”. Chodzi w nim o to, by dzielić się sposobami i działaniami niezbędnymi, by przez zmiany wykazać umiejętności liderskie. Powstał, by sprawdzić, czego potrzeba, by przenieść całą organizację do chmury.

Program zawiera odpowiedni plan działania, spostrzeżenia od liderów bezpieczeństwa, nagrane i przetranskrybowane spotkania panelowe, refleksje i podsumowania. Przeczytaj ten artykuł, by zyskać ogólny ogląd, a jeśli potrzebujesz dodatkowych informacji – znajdziesz je w linkach. ***

Trzy strategiczne kroki podczas przenoszenia się do chmury

Plan działania pomoże w określeniu i uporządkowaniu przejścia do chmury. Twoja strategia powinna obejmować trzy główne obszary:

* Wybór: zdefiniowanie kryteriów, które skierują firmę na rozwiązania, dzięki którym firma będzie korzystać, jednocześnie chroniąc swoje dane

* Ochrona: kiedy zostanie podjęta decyzja dotyczące konkretnego rozwiązania, należy rozpocząć proces zrozumienia środowiska i architektury, by zachować bezpieczeństwo informacji

* Operacje: proces pomiaru, oceny, dostosowania urządzeń sterujących, podejścia lub rozwiązanie oparte na zmieniających się potrzebach i dostępnych opcjach

Przeczytaj pozostałą część planu działania, by zyskać więcej wskazówek i odpowiedzi na nurtujące Cię pytania. Następnie sprawdź, co mówią eksperci, by ulepszyć swoje podejście.

Lori MacVittie: Lead, follow, or get out of the way of cloud

Lori MacVittie jest uznawana za liderkę w przestrzeni chmury – jest jedną z pierwszych osób, do których się zwracam, gdy mam jakieś wątpliwości związane z cloud computingiem.

W swoim artykule „Lead, follow, or get out of the way of cloud” ***** Lori podzieliła się szeregiem swoich przemyśleń, w tym:

„Bycie liderem oznacza zdolność określenia, co można zmienić, a czego nie i umiejętność przejścia od strategii opartej na implementacji do tej opartej na rezultatach. Zamiast wymagać, by to zapora sieciowa kontrolowała dostęp do aplikacji back office, zasady działania powinny być zdefiniowane w kategoriach rezultatów: aplikacje back office powinny być osłonięte i łatwe do skontrolowania. Przejście od podejścia, które określa „jak” do podejścia, które określa „co” umożliwi liderom IT szukać rozwiązań, które będą pasowały do każdego modelu i doprowadzą do ostatecznego przejścia – zamiast opóźnionej reakcji po fakcie. „Jak?” to pytanie taktyczne; „co?” – strategiczne.

Joan Pepin: Insider secrets for a security leader to assess a cloud provider

Joan Pepin jest CISO i wice przewodniczącą ds. bezpieczeństwa w firmie opartej na chmurze. Oznacza to, że zarówno korzysta z usług chmury oferowanych przez innych, jak również odpowiada na obawy klientów.

Unikatowe doświadczenie Joan jako konsumentki i dostawcy było bodźcem do napisania artykułu: „Insider secrets for a security leader to assess a cloud provider”.***

„Dzięki unikalnej pozycji zarówno konsumenta, jak i dostawcy, zainwestowałam dużo czasu w to, by zrozumieć – i spełnić – normy, które wybraliśmy. Przygotowałem zespół, by potrafił wyjaśnić, dlaczego dokonaliśmy konkretnych wyborów i pokazać, że udało nam się im sprostać.

Kiedy nadchodzi moja kolej by ocenić innych, często stawiam się sama w kłopotliwej sytuacji, gdy sprzedawca domaga się zgodności. Zawsze z uśmiechem. A że wiem, że zawsze należy „kopać” głębiej, to często okazuje się, że po prostu polega na zaświadczeniach dostawcy LaaS zamiast swoich własnych.”

Scott Wilson: Why security leaders must seize the opportunity to implement cloud and improve security

Scott Wilson znalazł się w uprzywilejowanej pozycji specjalistay w kwestiach przenoszenia firm do bezpiecznej chmury.

Mając tę wiedzę, Scott wyjaśnił w swoim artykule „Why security leaders must seize the opportunity to implement cloud and improve security”, dlaczego przywódcy bezpieczeństwa powinni wykorzystać możliwość wdrożenia chmury i poprawy bezpieczeństwa:

„Jednym łatwym podejściem strategicznym jest określenie korzyści z przyjęcia chmury jako przesunięcia zadań operacyjnych. Najczęściej wspominane jako sposób na obniżenie kosztów, przerzucenie codziennych funkcji operacji bezpieczeństwa do usługi chmury to mądre posunięcie. Przeniesienie ich pozwoli liderom uwolnić członków zespołu, którzy nazbyt mocno skupiają się na łataniu luk bezpieczeństwa, skanowaniu w poszukiwaniu słabości, weryfikacji zgodności, rewalidacji użytkowników i innych powtarzających się zadań. Energia i czas, które są potrzebne na te zadania, mogą być teraz wykorzystane do innych celów: kierowania procesem zarządzania łatami, oceny wyników ciągłego monitorowania; upewniania się, że zarządzanie użytkownikami pozostaje w zgodzie z konkretnymi celami biznesowymi. Jako że ciągle wymaga się od nas, by osiągać więcej przy małych środkach, czy ma sens wykorzystywanie naszych pełnoetatowych pracowników do wykonywania projektów i inicjatyw, które są mało wartościowe biznesowo?”

Moja własna refleksja: dzięki chmurze wszyscy są lepiej chronieni

W programie, który jest przeładowany praktycznymi doświadczeniami, uwagę zwraca wiele rzeczy. Jedną z nich jest siła chmury jako czynnika zwiększającego bezpieczeństwo. Chmura wzmacnia ochronę całej firmy. Każdy na tym korzysta.

Migracja do chmury zmusza do innego sposobu myślenia i działania. To konieczne i oczywiste. I dobre. Należy wykorzystać tę możliwość i zacząć zastanawiać się nad funkcjami. Skupić się na rezultatach. A zacząć należałoby od pytania: „Jaki problem staramy się w ten sposób rozwiązać?”

By dowiedzieć się więcej, przeczytaj artykuł: „How the cloud improves security for everyone”.

Przeprowadź zmiany niezbędne by wzmocnić ochronę

Rozwiązania oparte na chmurze doprowadzą do zmian w kwestiach bezpieczeństwa. Mimo że sama metoda jest zupełnie inna, jest to na pewno zmiana, której potrzebujemy.

To zmiana, które potrzebujemy. A przecież dopiero zaczynamy.

Przeniesienie firmy do chmury to dobry sposób na wzmocnienie bezpieczeństwa. Być może rzeczywiście zyskasz kontrolę wszystkim, którą chciałeś mieć. A nawet lepiej – ktoś inny przejmie odpowiedzialność za najbardziej podstawowe działania, co Tobie da czas i energię, aby skupić się na trudniejszych i ważniejszych zadaniach.

Celem programu „Leading Security Change” jest zmiana sposobu myślenia i przekształcenie wyzwania w rozwiązania. O badaniach i dyskusjach dotyczących chmury piszę często. Zapraszam do przeglądania prowadzonej przeze mnie kolumny „Translating Security Value”.

Co sądzicie o artykule? Jakie tematy powinienem poruszyć następnym razem? W jaki sposób mogę ulepszyć program na Waszą korzyść?