當(dāng)一家醫(yī)療服務(wù)機(jī)構(gòu)的首席信息安全官Amy仔細(xì)查看全公司的云安全時(shí)，她意識(shí)到默認(rèn)訪問控制模型正在引起各種訪問問題。BeWell的基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商默認(rèn)設(shè)置成只允許企業(yè)主訪問的安全狀態(tài)。

另一方面，軟件即服務(wù)(SaaS)提供商默認(rèn)設(shè)置成完全開放訪問。在使用多個(gè)云的情況下，Amy無法手動(dòng)放寬IaaS的權(quán)限，也無法對(duì)SaaS進(jìn)行充分的控制。那么該如何解決這個(gè)問題呢?答案是自動(dòng)化。

當(dāng)前，首席信息安全官不會(huì)再遇到“你們?nèi)绾翁峁┌踩⒐芾盹L(fēng)險(xiǎn)”這樣的簡單問題，而遇到的是“你們?nèi)绾螏椭髽I(yè)實(shí)現(xiàn)更多價(jià)值，同時(shí)評(píng)估和管理風(fēng)險(xiǎn)、安全、甚至安防?”等更復(fù)雜的問題。使用自動(dòng)化是為企業(yè)機(jī)構(gòu)帶來價(jià)值的最佳方式。

自動(dòng)化所帶來的影響

自動(dòng)化正在通過兩種方式影響世界。第一，自動(dòng)化實(shí)現(xiàn)了安全和風(fēng)險(xiǎn)功能;第二，自動(dòng)化是一項(xiàng)需要被承認(rèn)和理解的新型安全前沿技術(shù)。

隨著業(yè)務(wù)的各個(gè)部分都開始采納云、區(qū)塊鏈、數(shù)字孿生、沉浸式技術(shù)等新興技術(shù)，像Amy這樣的首席信息安全官將會(huì)因各種優(yōu)先任務(wù)而不知所措。

其他業(yè)務(wù)部門可能會(huì)在沒有就安全問題咨詢安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者的情況下構(gòu)建解決方案。這意味著他們每天都在做出與技術(shù)相關(guān)的選擇，而且往往沒有意識(shí)到他們正在做的事情所具有的潛在風(fēng)險(xiǎn)。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者無法控制并且有時(shí)無法得知這些業(yè)務(wù)選擇，而這些業(yè)務(wù)選擇可能帶來嚴(yán)重的后果，尤其是在數(shù)字化業(yè)務(wù)潛力不斷增長的情況下。

數(shù)字化轉(zhuǎn)型改變了安全需求以及所需的技能組合與能力，它帶來了難以填補(bǔ)(甚至不可能填補(bǔ))的新人才缺口。

業(yè)務(wù)中的自動(dòng)化

許多自動(dòng)化工具都是臨時(shí)的，但也有一些是針對(duì)流程關(guān)鍵部分的正規(guī)自動(dòng)化工具。有些工具使用一種技術(shù)，有些類型的自動(dòng)化工具則使用多種技術(shù)。例如機(jī)器人流程自動(dòng)化最適合用于以任務(wù)為中心的環(huán)境以及使用預(yù)測建模、回歸分析、預(yù)報(bào)和模式匹配回答“可能發(fā)生什么”這一問題的預(yù)測分析。

有些公司準(zhǔn)備使用自動(dòng)化降低成本，規(guī)范或提高生產(chǎn)效率。有些公司準(zhǔn)備使用它來提高風(fēng)險(xiǎn)控制的質(zhì)量和一致性，同時(shí)減少人為錯(cuò)誤。企業(yè)機(jī)構(gòu)還準(zhǔn)備使用自動(dòng)化提高速度或靈活性。

持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估成為重要推手

無論如何使用自動(dòng)化，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者都不會(huì)再依賴傳統(tǒng)的安全策略。持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估(CARTA)是一種承認(rèn)沒有完美保護(hù)方法，因此需要隨時(shí)隨地調(diào)整安全策略的策略方法。

安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者要有意識(shí)地采取既能最大程度降低自身所在企業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)，又能幫助企業(yè)機(jī)構(gòu)獲得回報(bào)的自適應(yīng)自動(dòng)化方法。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須根據(jù)情況平衡風(fēng)險(xiǎn)和信任，在自動(dòng)化藍(lán)圖中找到自己的位置，實(shí)現(xiàn)自己的價(jià)值。

自動(dòng)化的確會(huì)增加風(fēng)險(xiǎn)。例如算法中可能有來自創(chuàng)建者的隱式和顯式偏差，或者不可信操作系統(tǒng)上的算法可能被外界秘密地操控。因此，任何有關(guān)自動(dòng)化的選擇都必須謹(jǐn)慎并且符合當(dāng)前和未來的情況。

雖然有風(fēng)險(xiǎn)，但如果能夠作出正確的選擇，自動(dòng)化會(huì)給安全團(tuán)隊(duì)和業(yè)務(wù)帶來巨大的益處。

通過自動(dòng)化實(shí)現(xiàn)價(jià)值

安全和風(fēng)險(xiǎn)專業(yè)人員必須在三個(gè)領(lǐng)域使用自動(dòng)化實(shí)現(xiàn)價(jià)值，分別是：身份識(shí)別、數(shù)據(jù)和新產(chǎn)品或服務(wù)開發(fā)。

身份識(shí)別是所有其他安全控制的基礎(chǔ)

在任何情況下，有關(guān)身份識(shí)別的決定都應(yīng)該保持在安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的控制范圍內(nèi)。隨著越來越多的業(yè)務(wù)遷移到云環(huán)境，這一點(diǎn)變得更加重要。由于系統(tǒng)和公司變得日益復(fù)雜，單純依靠幾個(gè)密碼進(jìn)行身份確認(rèn)已十分困難且危險(xiǎn)。

可以考慮使用智能風(fēng)險(xiǎn)引擎自動(dòng)執(zhí)行流程中的特定部分。持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估身份識(shí)別方法將成為確保風(fēng)險(xiǎn)引擎既不會(huì)過于放松，也不會(huì)過于嚴(yán)格的關(guān)鍵，而且該方法也適用于用戶。

數(shù)據(jù)已成為企業(yè)價(jià)值的重要組成部分

業(yè)務(wù)如同“數(shù)據(jù)生產(chǎn)工廠”。如果無法保護(hù)和監(jiān)控?cái)?shù)據(jù)，則會(huì)產(chǎn)生高昂的代價(jià)，甚至損害企業(yè)機(jī)構(gòu)的價(jià)值。

可以檢查所有IaaS和SaaS應(yīng)用程序的訪問控制模型，考慮使用云訪問安全代理(CASB)對(duì)數(shù)據(jù)和文件進(jìn)行識(shí)別和分類。同時(shí)使用云訪問安全代理和企業(yè)數(shù)字版權(quán)管理將控制延伸到整個(gè)企業(yè)，覆蓋所有位置的數(shù)據(jù)。

新產(chǎn)品或服務(wù)開發(fā)是公司關(guān)注的焦點(diǎn)

為了獲得競爭優(yōu)勢(shì)，各家公司正在開發(fā)新的產(chǎn)品和服務(wù)，同時(shí)使用新興技術(shù)把握新的商機(jī)。由于公司越來越需要加快產(chǎn)品進(jìn)入市場的速度，開發(fā)運(yùn)維(DevOps)流程可能會(huì)違反安全協(xié)議。自動(dòng)化可以幫助實(shí)現(xiàn)安全開發(fā)運(yùn)維(DevSecOps)的終極目標(biāo)，在一開始就將安全集成到流程中，不產(chǎn)生任何負(fù)面影響。

可以考慮自動(dòng)化選項(xiàng)，例如交互式應(yīng)用程序安全測試這一基于機(jī)器的解決方案可以讓您從內(nèi)部觀察應(yīng)用程序的行為。之后，您的團(tuán)隊(duì)就可以將安全測試放在質(zhì)量檢測之上并且避免使用單一的安全測試用例。

在這些至關(guān)重要的優(yōu)先任務(wù)中，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須將他們想要處理的任務(wù)、其他團(tuán)隊(duì)可以合理完成的任務(wù)以及無法保證時(shí)間或精力的任務(wù)按優(yōu)先級(jí)別排序。安全團(tuán)隊(duì)還必須考慮如何將自動(dòng)化集成到系統(tǒng)中以及如何在持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估安全方法中合理使用自動(dòng)化。

為了管理和支持價(jià)值保護(hù)并實(shí)現(xiàn)價(jià)值創(chuàng)造，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者的工作就是識(shí)別和管理這種緊張局面，并在自動(dòng)化藍(lán)圖中找到自己的位置。