在冠状病毒大流行期间,云迁移和SaaS的采用激增。事实上,根据最近发布的一份调查报告,疫情加速了40%的企业向云平台的迁移。无论员工在哪里工作,许多企业都依靠这些平台和工具的灵活性来提高生产力。互联环境企业还经常将这些应用程序连接到关键业务流程,以传输有价值的客户数据、个人身份信息(PII)、财务和其他敏感信息,以帮助流程顺利运行。但随着越来越多的业务流程从本地扩展到云计算平台,企业开始失去对其互联应用生态系统风险的可见性。问题在于,在互连环境中,错误配置的系统或安全漏洞可能会使企业面临风险,IT、网络安全、开发和审计团队越来越难以了解哪些应用程序和服务支持关键业务流程,它们如何支持关键业务流程互连,以及变化如何影响合规性、安全性和可用性。随着远程工作成为现实,现在是时候提出三个关键问题,以确保企业了解潜在风险以及如何减轻这些风险。1.错误配置如何带来风险?数字化转型的实施,以及云服务和API消费的稳步增长,使得集成和连接来自不同供应商的两个或多个不同系统变得异常容易。但无论是使用Salesforce还是SAP的API,企业都可能面临巨大的风险。这是因为许多业务应用程序反映了基于底层技术构建的复杂工作流和流程。因此,虽然集成很容易,但企业现在正在使用两个融合在一起的高度可配置的应用程序。能力越大,风险越大。自定义这些应用程序可能会引入不同的漏洞,这些漏洞可能会影响集成、身份验证、审计、加密、用户授权等领域。要识别这些风险,公司首先需要对底层技术有更深入的了解。第二步是创建包括云和本地资产的资产地图,以了解哪些应用程序在哪些环境中运行以及正在传输哪些数据。最后,企业需要依靠安全和合规合作伙伴来分析每个应用程序及其支持的数据,以更好地了解保护和合规方面的差距。例如,查看GDPR法规下的人力资源数据、SOX下的财务信息或PCI下的信用卡信息,成为提供某种程度控制的驱动力。归根结底,这些不一致会危及应用程序和数据的完整性,并且无论部署如何,数据安全仍然是客户的责任,因此获得配置控制至关重要。2、如何掌握用户权限?授权和访问控制是企业风险管理和内部控制的基本组成部分。谁有权访问任务和职责分离(SoD)是确保关键职能分布在多个员工或部门以降低欺诈和错误风险的关键流程。但是,随着企业将应用程序从本地环境迁移到云计算环境,以及各部门在IT权限之外购买SaaS应用程序,维护权利的准确视图变得困难。此外,恶意攻击在云计算应用中更为普遍,这使得严格控制应用中的用户授权变得至关重要。从内部的角度来看,权限失效可以让员工或不良行为者轻松地从一个应用程序迁移到另一个应用程序。由于某些流程跨越多个应用程序,因此关联用户的能力对于有效控制授权和SoD至关重要。为了进一步解决这种复杂性,企业安全团队还应该考虑能够提供跨应用程序用户活动的广泛视图的技术,能够标记异常行为或在权限未经许可升级时发出警报。3.确保持续合规的关键是什么?Gartner预计数据隐私法规将取得重大突破。对于运行本地、基于云和SaaS应用程序的企业而言,合规性可能是一个挑战。许多应用程序都受到严格监管,以确保个人身份信息(PII)和财务数据受到保护。传统上,负责确保监管标准的审计团队进行检查以确保合规性。如今,SuccessFactors和Workday等SaaS应用程序经常被HR等不同业务部门使用,这进一步使手动流程复杂化,因为每个应用程序通常是相互关联的,因为每个应用程序通常是相互关联的,因为审计团队很难找到真相的来源。这些人工审查在屏幕截图和Excel电子表格之间可能会花费大量时间和成本,并且只显示某个“时间点”的检查结果。自动化是简化这些繁琐任务的关键。一个好的解决方案可以智能地分析应用程序之间的连接,以全面了解合规性错误的根本原因以及如何解决这些问题,并推动组织达到“持续合规性”水平,从而简化整个业务应用最关键的控制在您的申请中节省成本和时间,同时获得审核员遵守各种法规的证据。SaaS和云计算应用程序已成为数字化转型的关键要素,使员工无论在哪里工作都能提高工作效率。然而,这些应用程序也存在严重的合规性和安全风险,如果处理不当,可能会使组织面临数据泄露并面临巨额罚款。随着企业继续采用SaaS,他们必须了解这些关键问题,以帮助降低风险、增强安全性并保持持续的合规性。
