云安全問題:IT vs.業(yè)務(wù)線(LOB)

責(zé)任編輯:cres

作者:Gary Audin

2019-01-02 11:23:06

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

如今,云計算的應(yīng)用越來越廣泛。用戶可以選擇基于云計算的應(yīng)用程序與軟件即服務(wù)(SaaS)的組合,或者可以選擇使用平臺即服務(wù)(PaaS)駐留在云中的應(yīng)用程序。無論哪種情況,用戶都可能會擔(dān)心云中應(yīng)用程序的安全性。

如今,云計算的應(yīng)用越來越廣泛。用戶可以選擇基于云計算的應(yīng)用程序與軟件即服務(wù)(SaaS)的組合,或者可以選擇使用平臺即服務(wù)(PaaS)駐留在云中的應(yīng)用程序。無論哪種情況,用戶都可能會擔(dān)心云中應(yīng)用程序的安全性。安全性如今很重要,但I(xiàn)T部門和業(yè)務(wù)線部門(LoB)對基于云計算的應(yīng)用程序的風(fēng)險具有不同的看法。
 
云中有什么?
 
很多企業(yè)希望將業(yè)務(wù)遷移到云端,還希望采用可以快速實施的統(tǒng)一通信和協(xié)作服務(wù),并提供更多功能,同時降低預(yù)算。而這種思考過程可以適用于用戶的聯(lián)絡(luò)中心。云計算具有更多的吸引力,但I(xiàn)T人員和業(yè)務(wù)線部門(LoB)對其安全風(fēng)險的看法不同。
 
波洛蒙研究所的調(diào)查
 
在Salesforce公司委托波洛蒙研究所開展的調(diào)查研究中,發(fā)布了一份名為“縮小云安全業(yè)務(wù)差距”的報告。此文的圖表來自這份報告。
 
此次研究調(diào)查了涉及云計算服務(wù)的各種意見、問題和業(yè)務(wù)職位。發(fā)現(xiàn)IT部門的安全觀隨著業(yè)務(wù)線(LoB)部門而變化。由于這兩個部門并不一致,因此在創(chuàng)建過程、實施程序、定義預(yù)算和實施安全性方面可能存在沖突。
 
遷移到云端的原因?qū)τ贗T部門和業(yè)務(wù)線(LoB)部門來說都很常見。但是,每個小組都不同地強調(diào)此舉背后的原因。IT部門希望降低成本,而業(yè)務(wù)線(LoB)部門希望提高效率,并縮短部署時間。IT部門希望提高安全性(24%),而業(yè)務(wù)線(LoB)部門認(rèn)為這不太重要(12%)。見下圖。

 
云計算風(fēng)險
 
波洛蒙研究所的調(diào)查報告的結(jié)論之一是,不了解所有正在使用的云計算應(yīng)用程序和平臺(SaaS或PaaS)可能會產(chǎn)生風(fēng)險。該報告發(fā)現(xiàn),77%的受訪者無法全面了解收集、處理、存儲的敏感數(shù)據(jù)。50%的受訪者認(rèn)為他們的IT組織并不完全了解目前使用的所有云應(yīng)用程序。當(dāng)被要求對風(fēng)險等級進(jìn)行評級時,69%的受訪者表示,很多組織不了解當(dāng)前使用的所有云應(yīng)用程序和相關(guān)平臺。
 
下圖顯示了云計算與內(nèi)部部署解決方案的安全性大致相同。它還表明,對于云計算資源的安全性,業(yè)務(wù)線(LoB)部門(20%)和IT部門(38%)的認(rèn)知之間似乎存在脫節(jié)。

 
數(shù)據(jù)泄露
 
IT安全性擔(dān)心數(shù)據(jù)泄露可能導(dǎo)致信息被竊取,企業(yè)網(wǎng)站上的信息發(fā)生變化,用戶采用惡意代碼,或禁用企業(yè)資源。數(shù)據(jù)泄露最常見的罪魁禍?zhǔn)资侨藶殄e誤(48%)。這意味著企業(yè)需要監(jiān)控其用戶,以發(fā)現(xiàn)可能導(dǎo)致安全問題的實際行為。
 
調(diào)查表明,網(wǎng)絡(luò)攻擊占安全問題的43%。應(yīng)對網(wǎng)絡(luò)攻擊需要一組不同的工具,從監(jiān)視網(wǎng)絡(luò)和異常行為的應(yīng)用程序到安裝預(yù)防措施。第三個主要的安全問題來源是系統(tǒng)故障(36%)。這可能意味著安裝不當(dāng)、疏忽、沒有更新補丁、推遲更改、IT人員無知或培訓(xùn)效果不佳,所有這些都是IT管理問題。
 
SaaS vs. PaaS:安全責(zé)任
 
假設(shè)用戶正在使用云計算服務(wù),誰來負(fù)責(zé)安全?在比較SaaS和PaaS安全責(zé)任時,受訪者存在明顯的意見分歧。當(dāng)SaaS投入使用時,29%的受訪者表示希望云計算服務(wù)提供商負(fù)責(zé)安全性。使用PaaS時,期望云計算服務(wù)提供商負(fù)責(zé)安全性的百分比降至17%。當(dāng)被問及是否應(yīng)該共享安全責(zé)任時,SaaS客戶希望分擔(dān)責(zé)任(13%)。相比之下,PaaS客戶為25%。

 
IT vs. LOB的安全感知
 
該報告的結(jié)論是,業(yè)務(wù)線(LoB)比IT安全,在云中的敏感/機密信息比內(nèi)部部署更安全。根據(jù)下圖,46%的業(yè)務(wù)線(LoB)部門受訪者認(rèn)為,與IT部門受訪者相比,敏感或機密數(shù)據(jù)在云中更安全(28%)。IT安全受訪者(33%)表示,他們的功能是保護(hù)信息,而業(yè)務(wù)線(LoB)部門的這一比例為25%。

 
IT部門更加關(guān)注組織不了解所使用的所有云計算應(yīng)用程序相關(guān)的風(fēng)險(IT部門為69%,業(yè)務(wù)線(LoB)部門為40%)。
 
一些觀點和結(jié)論
 
使用云服務(wù)可以減少IT部門的工作量。這也意味著IT控制較少,并且依賴于第三方的安全性。IT部門認(rèn)為增加風(fēng)險,而業(yè)務(wù)線(LoB)部門則認(rèn)為采用了更有效的解決方案。
 
•IT部門認(rèn)為風(fēng)險妨礙其運營,在發(fā)生攻擊時將會產(chǎn)生額外的工作和投訴。
 
•IT部門認(rèn)為攻擊是一種成本,因為它們會耗盡資源。
 
•業(yè)務(wù)線(LoB)部門認(rèn)為其風(fēng)險是金融方面的攻擊,不僅是收入和利潤,還包括監(jiān)管機構(gòu)的費用和罰款。
 
•業(yè)務(wù)線(LoB)部門關(guān)注客戶流失和聲譽受損。
 
IT部門與業(yè)務(wù)線(LoB)部門的安全認(rèn)知可能是由于內(nèi)部安全功能的聲譽不佳。云計算營銷對業(yè)務(wù)線(LoB)部門的影響可能比IT部門更大。因此,IT部門與業(yè)務(wù)線(LoB)部門必須更好地相互溝通,更多地了解對方的看法、目標(biāo)和情況。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號