隨著企業(yè)采用云優(yōu)先,供應(yīng)商管理變得更加重要。企業(yè)正在與多家供應(yīng)商合作,將工作負(fù)載遷移到云端。幾乎所有的企業(yè)都制定了多云戰(zhàn)略,選擇不同的供應(yīng)商來(lái)提供關(guān)鍵功能并避免單獨(dú)采購(gòu)的業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。
隨著圍繞云安全的大量營(yíng)銷,一些領(lǐng)導(dǎo)者可能會(huì)認(rèn)為他們的云合作伙伴承擔(dān)這些風(fēng)險(xiǎn)的所有責(zé)任,但事實(shí)并非如此。
超大規(guī)模企業(yè)及其客戶對(duì)保護(hù)云基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)負(fù)有共同責(zé)任。領(lǐng)先的云服務(wù)提供商將提供身份和訪問(wèn)管理(IAM)、威脅檢測(cè)、網(wǎng)絡(luò)和應(yīng)用保護(hù)、數(shù)據(jù)保護(hù)和事件響應(yīng)。他們還將提供合規(guī)服務(wù),使客戶能夠滿足領(lǐng)先的行業(yè)法規(guī),例如健康保險(xiǎn)流通和責(zé)任法案(HIPAA)和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)。
然而,企業(yè)最終對(duì)其設(shè)備、應(yīng)用和數(shù)據(jù)的安全性和健康負(fù)責(zé)。這就是為什么許多人采用分層安全方法,在整個(gè)環(huán)境中進(jìn)行控制。他們還使用零信任模型,這意味著對(duì)每個(gè)連接進(jìn)行身份驗(yàn)證,持續(xù)識(shí)別可能表明未經(jīng)授權(quán)的訪問(wèn)嘗試的行為異常。最后,許多企業(yè)正在采用云原生工具來(lái)發(fā)現(xiàn)、監(jiān)控、保護(hù)和修復(fù)數(shù)據(jù)。
風(fēng)險(xiǎn)評(píng)估的重要性
組織經(jīng)常錯(cuò)過(guò)通過(guò)記錄關(guān)鍵供應(yīng)商,并完成風(fēng)險(xiǎn)評(píng)估來(lái)更全面地了解風(fēng)險(xiǎn)的機(jī)會(huì)。此流程應(yīng)在加入新供應(yīng)商之前完成,并根據(jù)供應(yīng)商的風(fēng)險(xiǎn)狀況定期更新。
作為此流程的一部分,IT團(tuán)隊(duì)將評(píng)估其潛在或當(dāng)前合作伙伴的安全協(xié)議和流程、他們將管理哪些數(shù)據(jù)和應(yīng)用,以及是否有其他企業(yè)將支持這項(xiàng)工作。然后,他們可以使用這些風(fēng)險(xiǎn)評(píng)級(jí)來(lái)確定是否與供應(yīng)商合作,或要求他們?cè)谂c供應(yīng)商合作之前糾正風(fēng)險(xiǎn)。企業(yè)還可以通過(guò)與多個(gè)提供商合作或制定在不滿足服務(wù)級(jí)別協(xié)議時(shí),轉(zhuǎn)移到另一個(gè)提供商的計(jì)劃來(lái)提高業(yè)務(wù)連續(xù)性。
第三方和第四方帶來(lái)的風(fēng)險(xiǎn)日益增加
盡管許多企業(yè)認(rèn)為他們了解第三方風(fēng)險(xiǎn),但這種信念可能是錯(cuò)誤的。調(diào)查發(fā)現(xiàn),超過(guò)80%的法律和合規(guī)領(lǐng)導(dǎo)者在初次入職和盡職調(diào)查后發(fā)現(xiàn)了關(guān)鍵的第三方風(fēng)險(xiǎn),因此他們將2.5倍的提供商列為高風(fēng)險(xiǎn)。此外,大多數(shù)組織的風(fēng)險(xiǎn)評(píng)估工作都集中在盡職調(diào)查和重新認(rèn)證上,只有27%的組織負(fù)責(zé)審查合作關(guān)系過(guò)程中可能出現(xiàn)的新風(fēng)險(xiǎn)。
更不為人所知的是第四方或分供應(yīng)商帶來(lái)的風(fēng)險(xiǎn)。云服務(wù)提供商有無(wú)數(shù)各方幫助他們維護(hù)和運(yùn)營(yíng)其業(yè)務(wù),其中一些可能有權(quán)訪問(wèn)客戶數(shù)據(jù)和系統(tǒng)。實(shí)施零信任計(jì)劃、強(qiáng)制授予最低權(quán)限以及檢查安全數(shù)據(jù)是否存在異常可以幫助企業(yè)降低這些未知風(fēng)險(xiǎn)。
了解云安全責(zé)任
選擇供應(yīng)商后,風(fēng)險(xiǎn)緩解工作繼續(xù)進(jìn)行。團(tuán)隊(duì)將詳細(xì)審查合同,創(chuàng)建角色和職責(zé)矩陣,并與合作伙伴協(xié)調(diào)災(zāi)難應(yīng)對(duì)計(jì)劃。
云服務(wù)提供商提供許多不同的功能,但并非所有功能都默認(rèn)啟用。因此,它們可能需要正確配置才能啟用可降低風(fēng)險(xiǎn)的新安全功能。舉例來(lái)說(shuō),確保PCI合規(guī)性要求IT服務(wù)提供商及其客戶完成關(guān)鍵行動(dòng)。
其他示例包括多重身份驗(yàn)證(MFA)和數(shù)據(jù)丟失防護(hù)。MicrosoftOffice365和Microsoft365尋求強(qiáng)制執(zhí)行MFA,但必須由每個(gè)用戶啟用。Johnson表示,Office365等云服務(wù)中的DLP也必須進(jìn)行配置,而且這不是一個(gè)簡(jiǎn)單的過(guò)程。
此外,企業(yè)需要制定如何處理安全和合規(guī)數(shù)據(jù)的計(jì)劃。Office365使組織能夠管理和監(jiān)控用戶發(fā)送敏感數(shù)據(jù)的嘗試,例如包含社會(huì)保障或信用卡號(hào)碼的內(nèi)容。但企業(yè)IT團(tuán)隊(duì)需要確定是否只是報(bào)告這些嘗試、阻止它們,還是與其他員工或合作伙伴加密共享這些數(shù)據(jù)。
IT團(tuán)隊(duì)可以通過(guò)深入審查合同、適當(dāng)配置服務(wù)并確保供應(yīng)商之間的配置一致來(lái)建立成功的供應(yīng)商關(guān)系。例如,當(dāng)使用集中式數(shù)據(jù)庫(kù)或第三方工具是更好的選擇時(shí),企業(yè)可能會(huì)跨云分散身份和訪問(wèn)管理。
通過(guò)使用這些策略,企業(yè)可以改進(jìn)其供應(yīng)商風(fēng)險(xiǎn)管理實(shí)踐。它們將降低禁用中斷、數(shù)據(jù)泄露或其他可能損害性能并造成客戶問(wèn)題的問(wèn)題的風(fēng)險(xiǎn)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長(zhǎng)6.6%
- Fortinet李宏凱:2025年在中國(guó)大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬(wàn)
- 央國(guó)企采購(gòu)管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過(guò)26億美元
- 調(diào)查報(bào)告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
- 長(zhǎng)江存儲(chǔ)發(fā)布聲明:從無(wú)“借殼上市”意愿
- 泛微·數(shù)智大腦Xiaoe.AI正式發(fā)布,千人現(xiàn)場(chǎng)體驗(yàn)數(shù)智化運(yùn)營(yíng)場(chǎng)景
- IDC:2024年第三季度北美IT分銷商收入增長(zhǎng)至202億美元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。