CISO(資安長)生存指南:金融服務組織如何更安全地遷移到雲端

2023/04/17

本文編譯自:Google Blog

進入雲端對於金融服務組織來說是令人生畏的。

首席訊息安全官必須領導其企業數位轉型的雲端資訊安全,這是一項複雜的任務,受到許多困擾,Google 網路安全行動團隊可以回答這些問題,幫助企業進入數位轉型的勇敢新世界,並在前進的過程中建立敬業、強大的網路安全團隊,因為雲端安全沒有“放之四海而皆準”的方法。

Google曾與許多處於轉型期的金融服務機構合作。有些人希望徹底改變組織,以實現網路安全目標的方式,其他人則希望對 Day 1 發布進行最低限度的可行安全控制。每個組織都有自己的運營和技術需求、資金來源和風險偏好,都會從根本上影響安全策略。

提供來自 Google 雲端 CISO 辦公室的真實知識和經驗,幫助企業大膽且更安全地遷移到雲端。Google為了履行以共同命運模式運營的承諾的一部分,該模式可幫助客戶實現最佳安全結果。Google堅信,安全的組織可以打造一個更安全的世界。

首先,會遇到很多問題

當組織正處於遷移到雲端的風口浪尖時,Google會協助他們並聽到以下問題:

  • 以前從未這樣做過,首先需要擔心什麼?
  • 如何確保不會將技術和網路債務轉移到雲端?
  • 需要注意哪些主要威脅?
  • 將留下哪些資料放在地端?
  • 如何組織團隊以解決需要關注的事情?

從這些對話中可以明顯看出,技術和安全領導者將遷移到雲端作為轉變其業務的機會。然而,僅僅因為技術和網路債務不是有意創造的,並不意味著它們可以隨心所欲地消失。通過建立堅實的基礎並利用雲端優勢來償還債務,需要齊心協力來降低風險。

這些領域和解決問題的策略可以圍繞組織及其運營、技術和人員以及 CISO 領導進行分類。

訓練企業思考雲端方案

最近,安全團隊一直在圍繞安全合規模型(例如NIST 網路安全框架)進行討論。雖然這為安全規程和一般安全模式提供了基礎架構,但不一定是提供企業在資安方面獲得影響的最佳方式。

此外,框架中的大多數模型是在雲端受監管行業中廣泛採用之前所開發,Google擁有專業的知識和工具,能有效地服務於專業案例和垂直行業。

隨著雲端使用變得越來越普遍,框架需要發展並適應新的威脅和具有快速業務變化和敏捷 IT 的新操作環境。從根本上來看,數位轉型是關於企業變革管理的,為數位轉型做準備的關鍵組成是指導企業中的人員超越地端思維方式,採用雲端新思維方式。

在討論CISO 如何調整雲端安全的心智模型時,Google提出,數位轉型期間和之後的安全性應側重於網路與端點防護、檢測與反應時間、數據安全以及身份和訪問管理 (IAM)在雲端中的運行,以及如何利用這些差異來幫助企業建構更具彈性的安全環境。

正確的問題可以推動安全變革

在製定戰略和戰術決策時要問一個關鍵問題是:為什麼要實施這種安全控制?

數位轉型提供了很好的機會來重新審視團隊(因為文化在雲端轉型中是最重要的)並引領變革,在防火牆、防毒軟體、應用程式、數據保護、總體安全和風險狀況,以及備份計劃。

首先改變技術控制很少會成功。

企業需要有清晰的願景並設定目標以確定如何最有效地實現其安全目標。大多數時候,意味著 CISO 及團隊必須走出舒適區,與技術、業務和其他合作夥伴合作才能取得成功。如果企業走上了“始終以這種方式在地端完成”的道路,那麼雲端轉型會變得低效,最終阻礙業務實現敏捷性和安全性。

在麻省理工學院和聯邦儲備委員會主辦的 9 月金融服務業網路風險衡量會議上,一位聽眾向小組提出了重要問題:為什麼網路保險公司會詢問我是否安裝了文件完整性監控?

網路保險公司提出的這類問題表明了隨著數位轉型過程而演變的心態。Google希望對重新思考實踐和架構的新機會保持開放態度。根據他們的目標,網路保險公司可以問一組不同的問題,例如:您如何確保關鍵支付數據在交易流程中不被更改?如何確保在生產環境中運行的軟體是經過授權且未被更改的?

這兩個問題都可以透過文件完整性監控來回答。然而,回答網路保險公司問卷中的問題幾乎沒有價值,無法提供可衡量的安全優勢。因此,雲端提供了同樣的機會來重新思考標準控制並產生更好的安全性和業務成果。

當企業開始在雲端中實施安全性時,請記住企業的理想安全模式應該是什麼,並與利益相關者(包括業務和 IT 領導)就如何設定和實現目標達成一致。首先為企業提供了“壓力測試”,令人欣慰的是,很少有 CISO 在第一次嘗試時就成功了,這就是為什麼你應該具有適應性,對變化持開放態度,並努力盡可能減少企業內部的衝突。

現在要了解更多信息,請查看Google關於CISO 挫折、成功和經驗教訓的Podcast,以及Google關於雲端安全轉型的報告。查看Google Cyber​​security Action Team網站以獲取更多文件和其他指南。