如何降低互聯智能企業中的風險
在冠狀病毒疫情蔓延期間,云遷移和SaaS的采用激增。實際上,根據最近發布的一項調查報告,疫情使40%的企業加快了向云平臺的遷移。很多企業依靠這些平臺和工具的靈活性來提高生產力,而無需考慮員工的工作位置。
互連環境
企業還經常將這些應用程序連接到關鍵業務流程,以傳輸有價值的客戶數據、個人身份信息(PII)、財務和其他敏感信息,以幫助流程順利運行。但隨著越來越多的業務流程從內部部署擴展到云計算平臺,企業開始對其互聯應用生態系統的風險失去可見性。
問題在于,在互連的環境中,配置錯誤的系統或安全漏洞可能會使企業面臨風險,并且IT、網絡安全、開發和審計團隊越來越難以了解哪些應用程序和服務支持關鍵業務流程,它們是如何相互連接,以及更改如何影響合規性、安全性、可用性。
隨著遠程工作成為現實,現在是提出三個關鍵問題的時候了,以確保企業都了解潛在風險以及如何降低風險。
1. 錯誤配置如何造成風險?
實施數字化轉型,以及云服務和API消費的穩步增長,使得集成和連接來自不同供應商的兩個或多個不同系統變得異常容易。但無論是使用Salesforce還是SAP公司的API,企業都可能面臨巨大的風險。
這是因為許多業務應用程序反映了基于底層技術構建的復雜工作流和流程。因此,雖然集成很容易,但企業現在正在使用兩個高度可配置的應用程序融合在一起。能力越強,風險就越大。定制這些應用程序可能會引入不同的漏洞,這些漏洞可能會影響集成、身份驗證、審核、加密、用戶授權等領域。
為了識別這些風險,企業首先需要對底層技術有更深入的了解。第二步是創建一個包括云計算和內部部署資產的資產圖,以了解哪些應用程序運行的環境以及正在傳輸什么數據。
最后,企業需要依賴安全性和合規性合作伙伴來分析每個應用程序及其支持的數據,以更好地了解保護和合規性方面的差距。例如,根據GDPR法規中查看人力資源數據,根據SOX查看財務信息,或者PCI查看信用卡信息,成為提供某種程度控制的驅動因素。
歸根結底,這些不一致可能會危及應用程序和數據的完整性,而無論部署如何,仍應由客戶負責數據安全,因此,獲得配置控制是必不可少的。
2. 如何才能掌握用戶權限?
授權和訪問控制是企業風險管理和內部控制的基本組成部分。誰有權使用任務和職責分離(SoD)是至關重要的過程,可確保關鍵職能分散在多名員工或多個部門中,以減輕欺詐和錯誤的風險。
然而,隨著企業將應用程序從內部部署環境轉移到云計算環境,以及各部門在IT權限之外購買SaaS應用程序,維護權限的準確視圖變得非常困難。此外,惡意攻擊在云計算應用中更為普遍,這使得在應用程序中嚴格控制用戶授權至關重要。從內部的角度來看,權限的失效可以使員工或居心不良者能夠輕松地從一個應用程序遷移到另一個應用程序。
由于某些過程跨越多個應用程序,因此關聯用戶的能力對于有效控制授權和SoD至關重要。為了進一步應對這種復雜性,企業安全團隊還應該考慮采用可以在應用程序之間提供廣泛用戶活動視圖的技術,能夠標記異常行為或在權限未經許可升級時發出警報。
3. 確保持續合規的關鍵是什么?
Gartner公司預計數據隱私法規將會有重大突破,對于運行內部部署、基于云計算和SaaS應用的企業來說,合規性可能是一個挑戰,許多應用程序都受到嚴格監管,以確保個人身份信息(PII)和財務數據得到保護。
傳統上,負責確保法規標準的審核團隊都會進行檢查以確保合規性。如今,諸如人力資源等不同業務部門經常使用SaaS應用程序(例如SuccessFactors和Workday),由于審計團隊難以找到真實的來源,因為每個應用程序通常是相互連接的,因此使人工流程變得更加復雜。這些人工審核在屏幕截圖和Excel電子表格之間可能花費大量時間和成本,并且只顯示某一“時間點”的檢查結果。
自動化是簡化這些繁瑣任務的關鍵。良好的解決方案可以智能地分析應用程序之間的連接,以全面了解合規性錯誤的根源以及如何解決這些錯誤,并推動組織達到“持續合規性”的水平,從而使他們可以簡化整個業務應用程序中最關鍵的控制以節省成本和時間,同時獲取審計師是否遵守各種法規的證據。
SaaS和云計算應用程序已經成為數字化轉型的關鍵因素,使員工無論在哪里工作都能提高工作效率。但是,這些應用程序也會帶來嚴重的合規性和安全風險,如果處理不當,可能會使企業的數據泄露,并且面臨巨額罰款。隨著企業不斷采用SaaS,他們必須了解這些關鍵問題,以幫助降低風險、增強安全性,并保持持續合規性。
