Bezpieczna firma oparta o chmurę - konkretne porady trzech ekspertów
- Computerworld Online/DP,
- 17.06.2016, godz. 13:25
Najważniejsze zasady obowiązujące przy prowadzeniu bardziej bezpiecznej chmury – podsumowanie programu Leading Security Change.
Najważniejsze zasady obowiązujące przy prowadzeniu bardziej bezpiecznej chmury – podsumowanie programu Leading Security Change.
Czy zbliżasz się ku bardziej bezpiecznej chmurze?
Niedawno zadałem następujące pytanie: „Czy menadżerowie wykonawczy uważają, że jesteś odpowiednią osobą do podejmowania decyzji dotyczących bezpieczeństwa w chmurze?”. Zadałem je, bo okazało się, że 61% firm uważa, że przeniesienie się do chmury do strategiczny ruch zarządu i osób na stanowiskach wykonawczych.
Skoro poświęca się na to tak dużo uwagi, to naturalne, że chcemy wiedzieć, czy jesteśmy częścią tego procesu.
W wielu przypadkach odpowiedź brzmi nie: 34% organizacji chcących przenieść się do chmury wspomina, że to IT (w tym sektor bezpieczeństwa) to główny powód opóźnienia.
Ale nie musi tak być. Chmura może rzeczywiście być szansą, by rozwiązać poważny problem, z którym się mierzymy – w jaki sposób możemy chronić kluczowe dla naszych firm informacje? Odpowiedzią są odpowiednie mentalność i podejście.
I to właśnie jest cel tego programu. Oto podsumowanie programu Leading Security Change wraz ze spostrzeżeniami ekspertów, wyjaśniającymi, jak osiągnąć sukces.
Podejmij decyzję
Jako lider ds. bezpieczeństwa, masz do wyboru trzy możliwości:
* Kieruj działaniami mającymi przenieść firmę do bezpiecznej chmury
* Reagują na decyzje innych, zwłaszcza w przypadku wyborów, z których nie jesteś zadowolony
* Nie bierz w tym w ogóle udziału
Program nosi nazwę „Leading Security Change”. Chodzi w nim o to, by dzielić się sposobami i działaniami niezbędnymi, by przez zmiany wykazać umiejętności liderskie. Powstał, by sprawdzić, czego potrzeba, by przenieść całą organizację do chmury.
Program zawiera odpowiedni plan działania, spostrzeżenia od liderów bezpieczeństwa, nagrane i przetranskrybowane spotkania panelowe, refleksje i podsumowania. Przeczytaj ten artykuł, by zyskać ogólny ogląd, a jeśli potrzebujesz dodatkowych informacji – znajdziesz je w linkach. ***
Trzy strategiczne kroki podczas przenoszenia się do chmury
Plan działania pomoże w określeniu i uporządkowaniu przejścia do chmury. Twoja strategia powinna obejmować trzy główne obszary:
* Wybór: zdefiniowanie kryteriów, które skierują firmę na rozwiązania, dzięki którym firma będzie korzystać, jednocześnie chroniąc swoje dane
* Ochrona: kiedy zostanie podjęta decyzja dotyczące konkretnego rozwiązania, należy rozpocząć proces zrozumienia środowiska i architektury, by zachować bezpieczeństwo informacji
* Operacje: proces pomiaru, oceny, dostosowania urządzeń sterujących, podejścia lub rozwiązanie oparte na zmieniających się potrzebach i dostępnych opcjach
Przeczytaj pozostałą część planu działania, by zyskać więcej wskazówek i odpowiedzi na nurtujące Cię pytania. Następnie sprawdź, co mówią eksperci, by ulepszyć swoje podejście.
Lori MacVittie: Lead, follow, or get out of the way of cloud
Lori MacVittie jest uznawana za liderkę w przestrzeni chmury – jest jedną z pierwszych osób, do których się zwracam, gdy mam jakieś wątpliwości związane z cloud computingiem.
W swoim artykule „Lead, follow, or get out of the way of cloud” ***** Lori podzieliła się szeregiem swoich przemyśleń, w tym:
„Bycie liderem oznacza zdolność określenia, co można zmienić, a czego nie i umiejętność przejścia od strategii opartej na implementacji do tej opartej na rezultatach. Zamiast wymagać, by to zapora sieciowa kontrolowała dostęp do aplikacji back office, zasady działania powinny być zdefiniowane w kategoriach rezultatów: aplikacje back office powinny być osłonięte i łatwe do skontrolowania. Przejście od podejścia, które określa „jak” do podejścia, które określa „co” umożliwi liderom IT szukać rozwiązań, które będą pasowały do każdego modelu i doprowadzą do ostatecznego przejścia – zamiast opóźnionej reakcji po fakcie. „Jak?” to pytanie taktyczne; „co?” – strategiczne.
Joan Pepin: Insider secrets for a security leader to assess a cloud provider
Joan Pepin jest CISO i wice przewodniczącą ds. bezpieczeństwa w firmie opartej na chmurze. Oznacza to, że zarówno korzysta z usług chmury oferowanych przez innych, jak również odpowiada na obawy klientów.
Unikatowe doświadczenie Joan jako konsumentki i dostawcy było bodźcem do napisania artykułu: „Insider secrets for a security leader to assess a cloud provider”.***
„Dzięki unikalnej pozycji zarówno konsumenta, jak i dostawcy, zainwestowałam dużo czasu w to, by zrozumieć – i spełnić – normy, które wybraliśmy. Przygotowałem zespół, by potrafił wyjaśnić, dlaczego dokonaliśmy konkretnych wyborów i pokazać, że udało nam się im sprostać.
Kiedy nadchodzi moja kolej by ocenić innych, często stawiam się sama w kłopotliwej sytuacji, gdy sprzedawca domaga się zgodności. Zawsze z uśmiechem. A że wiem, że zawsze należy „kopać” głębiej, to często okazuje się, że po prostu polega na zaświadczeniach dostawcy LaaS zamiast swoich własnych.”
Scott Wilson: Why security leaders must seize the opportunity to implement cloud and improve security
Scott Wilson znalazł się w uprzywilejowanej pozycji specjalistay w kwestiach przenoszenia firm do bezpiecznej chmury.
Mając tę wiedzę, Scott wyjaśnił w swoim artykule „Why security leaders must seize the opportunity to implement cloud and improve security”, dlaczego przywódcy bezpieczeństwa powinni wykorzystać możliwość wdrożenia chmury i poprawy bezpieczeństwa:
„Jednym łatwym podejściem strategicznym jest określenie korzyści z przyjęcia chmury jako przesunięcia zadań operacyjnych. Najczęściej wspominane jako sposób na obniżenie kosztów, przerzucenie codziennych funkcji operacji bezpieczeństwa do usługi chmury to mądre posunięcie. Przeniesienie ich pozwoli liderom uwolnić członków zespołu, którzy nazbyt mocno skupiają się na łataniu luk bezpieczeństwa, skanowaniu w poszukiwaniu słabości, weryfikacji zgodności, rewalidacji użytkowników i innych powtarzających się zadań. Energia i czas, które są potrzebne na te zadania, mogą być teraz wykorzystane do innych celów: kierowania procesem zarządzania łatami, oceny wyników ciągłego monitorowania; upewniania się, że zarządzanie użytkownikami pozostaje w zgodzie z konkretnymi celami biznesowymi. Jako że ciągle wymaga się od nas, by osiągać więcej przy małych środkach, czy ma sens wykorzystywanie naszych pełnoetatowych pracowników do wykonywania projektów i inicjatyw, które są mało wartościowe biznesowo?”
Moja własna refleksja: dzięki chmurze wszyscy są lepiej chronieni
W programie, który jest przeładowany praktycznymi doświadczeniami, uwagę zwraca wiele rzeczy. Jedną z nich jest siła chmury jako czynnika zwiększającego bezpieczeństwo. Chmura wzmacnia ochronę całej firmy. Każdy na tym korzysta.
Migracja do chmury zmusza do innego sposobu myślenia i działania. To konieczne i oczywiste. I dobre. Należy wykorzystać tę możliwość i zacząć zastanawiać się nad funkcjami. Skupić się na rezultatach. A zacząć należałoby od pytania: „Jaki problem staramy się w ten sposób rozwiązać?”
By dowiedzieć się więcej, przeczytaj artykuł: „How the cloud improves security for everyone”.
Przeprowadź zmiany niezbędne by wzmocnić ochronę
Rozwiązania oparte na chmurze doprowadzą do zmian w kwestiach bezpieczeństwa. Mimo że sama metoda jest zupełnie inna, jest to na pewno zmiana, której potrzebujemy.
To zmiana, które potrzebujemy. A przecież dopiero zaczynamy.
Przeniesienie firmy do chmury to dobry sposób na wzmocnienie bezpieczeństwa. Być może rzeczywiście zyskasz kontrolę wszystkim, którą chciałeś mieć. A nawet lepiej – ktoś inny przejmie odpowiedzialność za najbardziej podstawowe działania, co Tobie da czas i energię, aby skupić się na trudniejszych i ważniejszych zadaniach.
Celem programu „Leading Security Change” jest zmiana sposobu myślenia i przekształcenie wyzwania w rozwiązania. O badaniach i dyskusjach dotyczących chmury piszę często. Zapraszam do przeglądania prowadzonej przeze mnie kolumny „Translating Security Value”.
Co sądzicie o artykule? Jakie tematy powinienem poruszyć następnym razem? W jaki sposób mogę ulepszyć program na Waszą korzyść?
Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]