定義組織雲端安全性責任
除了Shared Responsibility Model之外,在組織內定義雲端安全的個人責任,並確保每個人都知道需求是什麼,也是非常重要的。僅說「安全是每個人的責任」是不夠的,甚至有點陳腔濫調。
執行領導團隊 必須贊助雲端安全性工作。在現今的監管環境中,高階主管贊助實際上是必須的。不遵守監管規定對企業的潛在財務影響,可能與資料外洩本身一樣具有毀滅性(甚至更糟)。除了經濟懲罰之外,許多法規還會對企業主管及其他企業受託人施以刑事懲罰。
高階主管必須以身作則。如果企業政策要求行動裝置上的企業資料必須加密,而且存取 SaaS 應用程式需要多因素驗證 (MFA),那麼就不該為主管人員提供「一次性」例外。除了以身作則之外,高階主管還需要確保安全與合規性計畫獲得適當的支援與資源,並經常考慮策略性商業決策對組織整體安全與合規性狀況的影響。
安全性與合規性團隊 必須定義並執行適當的政策,以安全地啟用業務。安全性與合規性團隊必須瞭解業務目的與目標,並與之保持一致,才能發揮成效,而且不能成為生產力與效率的瓶頸。
業務線管理人員 有責任確保組織的雲端安全性與合規性治理在其各自的業務範圍內獲得理解與遵守。隨著業務需求的演進,業務線經理應與安全性團隊合作夥伴,評估採用新工具的風險與回報。為了達成短期的業務目標或生產力目標而規避安全政策,例如只使用認可 SaaS 應用程式的需求,是絕對不能接受的。相反地,安全工具應該適應業務需求,並驅動所需的使用者行為。
與安全性和合規性團隊合作,也有助於確保個別業務線能夠利用組織目前可能與廠商或雲端供應商建立的任何關係,以更經濟的方式採購服務,並在需要時快速取得支援,而不是在真空中運作孤立的雲端技術和產品。
DevOps 團隊 持續面臨快速交付軟體專案和更新、縮短上市時間的壓力。為了滿足這些需求,必須在任何專案一開始就定義並瞭解安全性需求,而且最好能整合到應用程式交付工作流程中。如此一來,開發團隊就能不斷地向前邁進,而無需經常停下來重新設定,以處理安全性弱點和違反合規性的問題。
個別終端使用者 有責任遵循雲端安全性與合規性方面的企業治理。他們必須瞭解雲端固有的風險,並像保護自己的個人資料一樣保護所託付的資料。