Odom指出,Jefferson Health公司在網(wǎng)絡(luò)安全方面的口號(hào)是“如果我們做不好,就不會(huì)去做”。事實(shí)證明,這種方法對(duì)于Jefferson Health公司快速過渡到云優(yōu)先的遠(yuǎn)程模型以滿足在發(fā)生新冠疫情情況下正常開展業(yè)務(wù)的需求是不可或缺的。
事實(shí)上,通過將網(wǎng)絡(luò)安全放在其云計(jì)算創(chuàng)新的前沿,該公司為一些醫(yī)院采用了一種更高效、更敏捷、更注重風(fēng)險(xiǎn)的安全方法來保護(hù)業(yè)務(wù)安全。Odom說,“幾年來,我們的戰(zhàn)略一直以云計(jì)算為中心,但我們的許多平臺(tái)都非常大,通常不會(huì)在幾個(gè)月內(nèi)更改和移動(dòng),而是需要數(shù)年才能移動(dòng)。發(fā)生的疫情加速了事情的發(fā)展。”事實(shí)上,醫(yī)院龐大的數(shù)據(jù)庫(kù)涵蓋醫(yī)療保健、教育和研究業(yè)務(wù)的數(shù)據(jù),其中一些數(shù)據(jù)庫(kù)依賴于傳統(tǒng)的遺留系統(tǒng),這些系統(tǒng)需要向云端轉(zhuǎn)移,以實(shí)現(xiàn)更大的靈活性、成本效益和安全性。
網(wǎng)絡(luò)安全文化是云計(jì)算應(yīng)用的關(guān)鍵
Odom倡導(dǎo)采用網(wǎng)絡(luò)安全文化以有效地完成這一旅程,Jefferson Health公司總裁也在大力推動(dòng)這種文化。Odom說,“我們得到了確切的安全信息,這讓我們專注于執(zhí)行,而不是向管理者介紹為什么需要采取安全措施。我們可以從一開始就以一種正確的方式加快發(fā)展,而不是在傳統(tǒng)的內(nèi)部部署基礎(chǔ)設(shè)施上所做的那樣落后于發(fā)展曲線。”
Odom解釋說,采用正確的安全工具可以防止員工將事情搞得一團(tuán)糟,從而消除了圍繞生產(chǎn)和運(yùn)營(yíng)中改變系統(tǒng)以達(dá)到安全標(biāo)準(zhǔn)的艱難對(duì)話。他說,“我們采用的一種非常有條理、有計(jì)劃的方法,并從一開始就理解了安全性,這給我們帶來了很多好處。”
Odom表示,業(yè)務(wù)一致性是Jefferson Health公司實(shí)施云遷移的另一個(gè)核心文化元素,治理是將網(wǎng)絡(luò)安全定位為與更廣泛的企業(yè)動(dòng)態(tài)保持一致的不可或缺的組成部分。他說,“從監(jiān)管的角度來看,我們有不同的業(yè)務(wù),每個(gè)業(yè)務(wù)都有非常不同的使命和要求。這在很大程度上是關(guān)于了解所有這些領(lǐng)域的業(yè)務(wù)用例及其在云計(jì)算空間中的需求,然后安全團(tuán)隊(duì)與云計(jì)算架構(gòu)師一起正確構(gòu)建云平臺(tái)。”
為了確保保持這種以業(yè)務(wù)為中心的心態(tài),Odom經(jīng)常與其他利益相關(guān)者和同行一起參加安全技術(shù)研討會(huì)議和活動(dòng),以鼓勵(lì)企業(yè)之間的公開對(duì)話。
云計(jì)算擴(kuò)展中的遠(yuǎn)程工作
在疫情蔓延期間,對(duì)敏捷、遠(yuǎn)程工作的需求加速了Jefferson Health公司向云優(yōu)先模式的轉(zhuǎn)變。他說,“我們已經(jīng)在努力為員工提供更多的遠(yuǎn)程辦公時(shí)間,因此實(shí)際上向遠(yuǎn)程工作模式的過渡非常順利。”他補(bǔ)充說,他對(duì)遇到的安全挑戰(zhàn)如此之少感到驚訝。
雖然Odom認(rèn)識(shí)到新冠疫情對(duì)Jefferson Health公司構(gòu)成的威脅,例如針對(duì)其疫苗研發(fā)工作的網(wǎng)絡(luò)攻擊激增,但隨著研發(fā)團(tuán)隊(duì)在更多時(shí)間在家遠(yuǎn)程工作,網(wǎng)絡(luò)安全方面的顯著優(yōu)勢(shì)很快就顯現(xiàn)出來。他說,“在安全運(yùn)營(yíng)中心的幫助下,大多數(shù)員工專注自己的工作和業(yè)務(wù)。當(dāng)我們遠(yuǎn)離企業(yè)辦公室時(shí),許多事件響應(yīng)活動(dòng)變得更加有效,因?yàn)槲覀兊膯T工在家里遠(yuǎn)程工作已經(jīng)有了完整的安全設(shè)置。而網(wǎng)絡(luò)攻擊者喜歡在周五晚上或周六早上在員工不在辦公室工作的時(shí)候發(fā)動(dòng)網(wǎng)絡(luò)攻擊。”
Odom表示,通過開展遠(yuǎn)程工作,響應(yīng)時(shí)間減少了25%,團(tuán)隊(duì)整體生產(chǎn)力提高了20%。他說,“我們確實(shí)從遠(yuǎn)程工作中獲益,而且已經(jīng)能夠?qū)㈩~外的生產(chǎn)力應(yīng)用于疫情帶來的其他挑戰(zhàn)。”
然而Odom表示,需要解決控制、政策和教育問題,以確保遠(yuǎn)程工作不會(huì)妨礙Jefferson Health公司更廣泛的日常運(yùn)營(yíng)的安全性。他說,“基于網(wǎng)絡(luò)的安全工具已經(jīng)轉(zhuǎn)向端點(diǎn)控制,考慮云優(yōu)先策略是一個(gè)正確的發(fā)展方向。如果真正的目標(biāo)是云計(jì)算模型,那么就不會(huì)關(guān)注網(wǎng)絡(luò)級(jí)別的控制——其控制或者必須在應(yīng)用程序級(jí)別,或者必須在端點(diǎn)級(jí)別。”
Odom指出,隨著企業(yè)提供的IT設(shè)備取代在家遠(yuǎn)程工作的員工的個(gè)人IT設(shè)備,可接受的使用政策也得到了加強(qiáng)。
他說,“隨著時(shí)間的推移,我們認(rèn)為員工采用企業(yè)設(shè)備和個(gè)人設(shè)備的界限有些模糊,因此我們需要阻止許多未經(jīng)授權(quán)的工作站點(diǎn),例如Google Drive。”
他補(bǔ)充說,并非所有工作和基本服務(wù)都受到疫情的影響,但他和他的團(tuán)隊(duì)需要?jiǎng)?wù)實(shí)地工作,以評(píng)估那些最有可能受到疫情影響的服務(wù)。他說,“對(duì)于最終用戶群體來說,這顯然并不總是令人滿意,但需要回到他們獲得、理解和適應(yīng)的文化中。毫無疑問,其中的一個(gè)因素是更加關(guān)注網(wǎng)絡(luò)安全意識(shí)培訓(xùn),以應(yīng)對(duì)新的遠(yuǎn)程工作風(fēng)險(xiǎn)。作為對(duì)遠(yuǎn)離企業(yè)辦公室的員工的直接反應(yīng),我們將安全意識(shí)培訓(xùn)的次數(shù)增加了一倍。”
通過云優(yōu)先的方法增強(qiáng)風(fēng)險(xiǎn)管理
考慮到云計(jì)算轉(zhuǎn)型和引入更流暢的遠(yuǎn)程工作模式如何影響Jefferson Health公司的網(wǎng)絡(luò)安全地位,Odom指出需要采用風(fēng)險(xiǎn)管理的多元化方法。他說,“通過采用云優(yōu)先的遠(yuǎn)程工作方式,我們已經(jīng)消除了很多風(fēng)險(xiǎn),因?yàn)樗仁蛊髽I(yè)對(duì)運(yùn)行環(huán)境進(jìn)行細(xì)分。”
Odom說,“云計(jì)算的風(fēng)險(xiǎn)指標(biāo)已經(jīng)被證明是風(fēng)險(xiǎn)管理新方法的關(guān)鍵。如果想要獲得良好的結(jié)果,必須進(jìn)行衡量。然而衡量結(jié)果的勞動(dòng)會(huì)降低整體價(jià)值,需要花費(fèi)更多時(shí)間提供補(bǔ)救措施。Zscaler公司為我們提供了從一開始就獲得自動(dòng)化指標(biāo)和衡量的機(jī)會(huì),因此不會(huì)花費(fèi)質(zhì)量信息安全專業(yè)人員的時(shí)間來衡量結(jié)果。”
通過改進(jìn)指標(biāo),Odom已經(jīng)能夠從年度數(shù)據(jù)泄露損失的角度來量化風(fēng)險(xiǎn)的變化,例如關(guān)于勒索軟件的威脅。他說,“當(dāng)我們?cè)趦?nèi)部部署數(shù)據(jù)中心運(yùn)行業(yè)務(wù)時(shí),勒索軟件攻擊發(fā)生的可能性為2%到3%。隨著我們更多地將業(yè)務(wù)遷移到云端,其成本曲線顯著降低,因?yàn)槔账鬈浖舨粫?huì)影響整個(gè)運(yùn)營(yíng)環(huán)境,在某些情況下,它可能只會(huì)影響單個(gè)服務(wù)線。這意味著可能只有400萬到500萬美元的損失。雖然我們處理這些事件的周期性比率較高,但影響較小。”
對(duì)于尋求采用以云計(jì)算為中心、不依賴網(wǎng)絡(luò)的安全方法的其他首席信息安全官來說,Odom主張盡早采取措施。他說,“過去很多人說云計(jì)算不安全,但這根本不是一個(gè)準(zhǔn)確的說法。使用云計(jì)算技術(shù),我們不會(huì)繼承內(nèi)部部署數(shù)據(jù)中心的一些遺留實(shí)踐,只需要適當(dāng)?shù)囊?guī)劃,它讓我們的業(yè)務(wù)更安全,我們需要與一些不良的安全習(xí)慣作斗爭(zhēng),而企業(yè)越早實(shí)施安全措施就會(huì)越安全。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)