پیچیدگی دشمن امنیت ابری است

امنیت ابری و امنیت فناوری اطلاعات به طور کلی اغلب پیچیدگی را نادیده می گیرند. در دوره های امنیتی آموزش داده نمی شود و اکثر کارشناسان آن را در تجزیه و تحلیل ریسک در نظر نمی گیرند.

این یک واقعیت است که اکثر شرکت‌ها تیم‌ها و ابزارهای امنیتی را در یک سیلو قرار می‌دهند. وقتی می بینم این عادت های بد به امنیت رایانش ابری منتقل می شود، من را دیوانه می کند. من این موضوع را سه سال پیش پوشش دادم، و در بیشتر موارد، بدون تغییر است.

بسیاری از نقض‌های امنیتی امروز به دلیل خطای انسانی است. مطالعه‌ای توسط Ponemon و IBM نشان می‌دهد که پیکربندی نادرست سرورهای ابری باعث ۱۹% موارد نقض داده. هزینه؟ نیم میلیون دلار برای هر تخلف. دلیل؟ اکثر اوقات، قطعات متحرک زیادی برای تیم های امنیتی وجود دارد که نمی توانند ایمن باشند. آنها مسیر را از دست می دهند، چیزها به درستی پیکربندی می شوند و رخنه رخ می دهد. ساده.

پیچیدگی چیز جدیدی نیست. سالهاست که ما را درگیر کرده است. اخیراً، چند ابری و دیگر استقرار پلت فرم های پیچیده و ناهمگن، استقرار بیش از حد پیچیده را تسریع کرده اند. در عین حال، بودجه‌ها، رویکردها و ابزارهای امنیتی ثابت مانده‌اند. با افزایش پیچیدگی، خطر نقض تقریباً با همان سرعت افزایش می یابد.

اکثر فروشگاه‌های فناوری اطلاعات هنگام تحقیق در مورد امنیت سایبری یا امنیت ابری، پیچیدگی را معیار مهمی برای ردیابی نمی‌دانند. اغلب نادیده گرفته می‌شود زیرا بیشتر امنیت مجموعه‌ای از فرآیندها است. تیم‌های معماری به امنیت به‌عنوان یک جعبه سیاه نگاه می‌کنند که در آن چیزها روی دیوار پرتاب می‌شوند و به نحوی جادویی امن می‌شوند.

ما برای مدت طولانی نیاز به ادغام امنیت با توسعه، معماری و عملیات داشتیم. برخی از سازمان‌ها توسعه‌دهنده‌ها (توسعه، امنیت و عملیات) را تمرین می‌کنند و این مفاهیم را ادغام می‌کنند و تخصص همه را در مورد همه مشکلات به کار می‌گیرند.

در یک دنیای ایده آل، امنیت هرگز مشکل شخص دیگری نیست زیرا خطوط مرزی بین توسعه، معماری، امنیت و عملیات وجود ندارد. همه در تمام جنبه های توسعه، طراحی و استقرار با هم کار می کنند. امنیت برای همه چیز سیستمی است، که روش صحیح مشاهده آن است.

وقتی امنیت در همه جا وجود دارد، هنگام تعریف معماری‌های ابری و غیر ابری اصلی، از جمله میزان پیچیدگی معرفی‌شده و نحوه مدیریت مؤثر آن، به عاملی تبدیل می‌شود. این شامل رسیدگی به خطرات امنیتی افزایش یافته از طریق عملیات امنیتی است. بسیاری از رویکردها، مفاهیم و فناوری‌ها را می‌توان برای مدیریت و کاهش ریسک و در عین حال افزایش همزمان ارزش ارائه شده به کسب‌وکار استفاده کرد.

با ورود به سال ۲۰۲۳، کمی نگران‌کننده است که به دلیل پیچیدگی فزاینده یا رویکردهای غیرفعال، همچنان با خطرات امنیتی زندگی می‌کنیم. فرهنگ در بسیاری از شرکت ها ناتوانی ما را در مدیریت چیزها تداوم می بخشد. بسیاری از افراد در فناوری اطلاعات هنوز می گویند: “شما در گوشه IT خود بمانید در حالی که من در گوشه خود خواهم ماند.”

این روشی برای انجام محاسبات ابری یا امنیت ابری نیست و انتظار موفقیت را دارید. بیایید در آینه نگاه کنیم و ببینیم با ورود به سال جدید چه چیزهایی را می توانیم بهبود دهیم.