在我们之前的CISO 生存指南博客中,我们讨论了金融服务组织如何更安全地迁移到云端。我们研究了如何组织和思考受到高度监管的金融服务行业面临的数字化转型挑战,包括组织、运营和技术 (OOT) 方法的好处,以及采用持续交付和所需的文化转变等新流程.
作为 Google Cloud 对共同命运承诺的一部分,今天我们提供有关如何提出正确问题的提示,这些问题可以帮助创建对话,从而为您的组织带来更好的转型成果。虽然通常有不止一个正确答案,但一种深思熟虑、有条不紊的方法来提出有针对性的问题并对您听到的答案保持开放的心态有助于实现您想要的结果。这些问题旨在帮助您弄清楚从哪里开始以及从哪里结束您的组织的安全转型。通过提出以下问题,CISO 和业务领导者可以开展建设性的、重点突出的对话,这有助于确定实施安全控制与微调执行管理层和董事会设定的风险承受能力之间的适当平衡。
要开始对话,请先询问:
什么定义了我们组织的文化?
我们如何才能最好地将文化与我们的安全目标结合起来?
CISO 应该询问业务领导者:
什么是成功的转型?
转型的主要目标是什么?
什么数据(最)有价值?
哪些数据可以退役、重新分类或迁移?
我们可以承受哪些损失并仍能正常运作?
组织愿意接受的真正风险是什么?
企业领导者应该询问 CISO 和安全团队:
保护我们宝贵数据的最佳做法是什么?
实施这些控制对业务有何影响?
我们需要应对的首要威胁是什么?
CISO 和企业领导者应该问:
哪些威胁不再那么重要?
我们可以在哪里潜在地使用支出来进行更具成本效益的控制,例如防火墙和防病毒软件?
我们从重构应用程序中得到什么好处?
我们真的在转型,还是提升和转移?
我们应该如何执行身份和访问管理以满足我们的业务目标?
确保首批工作负载的企业级性能所需的核心控制是什么?
CISO 和风险团队应该问:
我们如何使用现有代码体的重组来简化安全功能?
我们应该如何监控我们的安全态势以确保我们符合我们的风险偏好?
业务和技术团队应该问:
我们的后备计划是什么?
如果失败了我们怎么办?
实用建议和运营转型的现实
一些组织已经在云中工作了十多年,并且已经解决了许多操作过程,有时在此过程中吸取了惨痛的教训。如果您已经在云中安全运营了那么久,我们就会认识到,通过了解您的文化、运营专业知识和技术方法,您可以收获很多。
然而,仍有许多组织在云环境几乎准备就绪之前没有想清楚他们将如何在云环境中运营——而到那时,可能为时已晚。如果您不能详细说明云环境在启动之前将如何运行,您如何知道谁应该负责维护它?
谁是关键利益相关者,以及那些负责设计和维护特定系统的人,应该在转型开始时确定谁?可能有几组利益相关者,例如那些与转型运营保持一致的利益相关者,以及那些专注于与运营保持一致的云控制设计的利益相关者。
如果您没有让操作员参与设计阶段,您注定会创建实用价值很小的巧妙安全控制,因为那些负责日常维护的人很可能没有专业知识或培训来有效地操作这些控件。
由于许多组织都在努力招募和保留具有在云中运行的正确技能的资源,这使情况变得复杂。我们相信,培训现有员工学习新的云技能,并让他们有时间远离其他职责,可以帮助建立技能娴熟、多元化的云安全团队。
如果您的组织在安全领导和熟练员工方面不断经历高流动率,那么您需要调整您的文化以确保更高的一致性。当然,您可以选择通过值得信赖的合作伙伴来补充内部知识——但是,对于持续的运营成本来说,这是一种昂贵的策略。
我们最近会见了一家安全组织,该组织每两到三年更换一次熟练的员工和领导层。这种流失率会导致安全目标不断重置。这个特殊的团队开玩笑说这就像“土拨鼠日”,因为他们不断地重新评估他们最好的安全方法,但没有取得任何有意义的进展。这不是一个可以效仿的模型。
许多安全控制失败不是因为它们设计不当,而是因为使用它们的人——你的安全团队——没有接受过适当的培训并且没有足够的积极性。对于流动率高和其他组织失调的团队来说尤其如此。阻止 100% 攻击的安全控制可能设计正确,但如果您不能有效地操作它,随着时间的推移,控制的有效性将直线下降为零。更糟糕的是,它会变成一种负担,因为你错误地认为你有一个有效的控制。
