云安全问题:IT vs.业务线(LOB)

如今,云计算的应用越来越广泛。用户可以选择基于云计算的应用程序与软件即服务(SaaS)的组合,或者可以选择使用平台即服务(PaaS)驻留在云中的应用程序。无论哪种情况,用户都可能会担心云中应用程序的安全性。安全性如今很重要,但IT部门和业务线部门(LoB)对基于云计算的应用程序的风险具有不同的看法。

云中有什么?

很多企业希望将业务迁移到云端,还希望采用可以快速实施的统一通信和协作服务,并提供更多功能,同时降低预算。而这种思考过程可以适用于用户的联络中心。云计算具有更多的吸引力,但IT人员和业务线部门(LoB)对其安全风险的看法不同。

波洛蒙研究所的调查

在Salesforce公司委托波洛蒙研究所开展的调查研究中,发布了一份名为“缩小云安全业务差距”的报告。此文的图表来自这份报告。

此次研究调查了涉及云计算服务的各种意见、问题和业务职位。发现IT部门的安全观随着业务线(LoB)部门而变化。由于这两个部门并不一致,因此在创建过程、实施程序、定义预算和实施安全性方面可能存在冲突。

迁移到云端的原因对于IT部门和业务线(LoB)部门来说都很常见。但是,每个小组都不同地强调此举背后的原因。IT部门希望降低成本,而业务线(LoB)部门希望提高效率,并缩短部署时间。IT部门希望提高安全性(24%),而业务线(LoB)部门认为这不太重要(12%)。见下图。

云计算风险

波洛蒙研究所的调查报告的结论之一是,不了解所有正在使用的云计算应用程序和平台(SaaS或PaaS)可能会产生风险。该报告发现,77%的受访者无法全面了解收集、处理、存储的敏感数据。50%的受访者认为他们的IT组织并不完全了解目前使用的所有云应用程序。当被要求对风险等级进行评级时,69%的受访者表示,很多组织不了解当前使用的所有云应用程序和相关平台。

下图显示了云计算与内部部署解决方案的安全性大致相同。它还表明,对于云计算资源的安全性,业务线(LoB)部门(20%)和IT部门(38%)的认知之间似乎存在脱节。

数据泄露

IT安全性担心数据泄露可能导致信息被窃取,企业网站上的信息发生变化,用户采用恶意代码,或禁用企业资源。数据泄露最常见的罪魁祸首是人为错误(48%)。这意味着企业需要监控其用户,以发现可能导致安全问题的实际行为。

调查表明,网络攻击占安全问题的43%。应对网络攻击需要一组不同的工具,从监视网络和异常行为的应用程序到安装预防措施。第三个主要的安全问题来源是系统故障(36%)。这可能意味着安装不当、疏忽、没有更新补丁、推迟更改、IT人员无知或培训效果不佳,所有这些都是IT管理问题。

SaaS vs. PaaS:安全责任

假设用户正在使用云计算服务,谁来负责安全?在比较SaaS和PaaS安全责任时,受访者存在明显的意见分歧。当SaaS投入使用时,29%的受访者表示希望云计算服务提供商负责安全性。使用PaaS时,期望云计算服务提供商负责安全性的百分比降至17%。当被问及是否应该共享安全责任时,SaaS客户希望分担责任(13%)。相比之下,PaaS客户为25%。

IT vs. LOB的安全感知

该报告的结论是,业务线(LoB)比IT安全,在云中的敏感/机密信息比内部部署更安全。根据下图,46%的业务线(LoB)部门受访者认为,与IT部门受访者相比,敏感或机密数据在云中更安全(28%)。IT安全受访者(33%)表示,他们的功能是保护信息,而业务线(LoB)部门的这一比例为25%。

IT部门更加关注组织不了解所使用的所有云计算应用程序相关的风险(IT部门为69%,业务线(LoB)部门为40%)。

一些观点和结论

使用云服务可以减少IT部门的工作量。这也意味着IT控制较少,并且依赖于第三方的安全性。IT部门认为增加风险,而业务线(LoB)部门则认为采用了更有效的解决方案。

•IT部门认为风险妨碍其运营,在发生攻击时将会产生额外的工作和投诉。

•IT部门认为攻击是一种成本,因为它们会耗尽资源。

•业务线(LoB)部门认为其风险是金融方面的攻击,不仅是收入和利润,还包括监管机构的费用和罚款。

•业务线(LoB)部门关注客户流失和声誉受损。

IT部门与业务线(LoB)部门的安全认知可能是由于内部安全功能的声誉不佳。云计算营销对业务线(LoB)部门的影响可能比IT部门更大。因此,IT部门与业务线(LoB)部门必须更好地相互沟通,更多地了解对方的看法、目标和情况。

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章