安全民主化
資訊安全長、安全長和技術長等安全和風險管理主管的職責正在顯著擴大,這已經不是什麼秘密了。
我們不僅要對安全威脅具有先發製人和保持警惕的態度,而且還要維護業務網路,現在,我們正迅速發展成為組織品牌的管家,提升其聲譽的同時,還建立了董事會信譽和客戶信任度。
在擔任 Amazon Web Services 資訊長超過 12 年的歲月中,我與眾多 AWS 客戶合作開展雲端運算和安全之旅,我逐漸認識到一些出色的組織在進行這種轉型方面表現出色。我還能直接看到他們的工作方式。
成功的安全組織是什麼意思? 這些公司正在以比其他公司更高的效率來改善風險狀況,同時最佳化雲端使用,從而加速創造新的業務價值形式。
特性 1:他們前瞻性地依靠稽核和法律
與法律和合規專業人士、稽核合作夥伴以及監管機構緊密合作,可能是這三個特性中最為關鍵的。就像安全專業人士一樣,這些人的任務是維護其組織的安全,因此他們需要儘早並經常參與進來。能夠快速採用雲端的安全組織認識到法律、稽核和合規利益相關者可以成為強大的盟友。
儘早並經常溝通
成功的安全組織會主動與法律、稽核和合規專業人士進行溝通並確定其優先順序。這顯而易見,但很多時候我們看到組織建立了內部控制系統,勢頭卻只是一瀉千里,因為他們在這一過程中沒有正確地與合適的團隊保持一致。克服傳統的營運方式並不總是那麼容易,對於某些組織而言,傳統的營運方式是在指定程序的中期或接近結束時爭取利益相關者。作為安全領導者,我們不希望看到安全性在產品建置後就要「加強」。同樣,我們應將必要的步驟整合至我們的安全程序中,以主動確保遵守法律、稽核和合規要求。我們在 AWS 上定期執行的一項工作是,儘早與我們的客戶及其內部稽核人員互動,以便他們可以指導其利益相關者如何在雲端成功進行稽核。為此,我們提供了指導和工具,並執行「遊戲日」模擬稽核練習。
相關閱讀