為什么安全性和彈性對企業(yè)風險管理至關重要
多年來,安全威脅一直占據(jù)頭版頭條。2020年,SolarWinds攻擊被視為(當時)針對聯(lián)邦政府和私營部門進行的最復雜、最廣泛的網絡攻擊之一,破壞了全球數(shù)千家企業(yè),并將供應鏈攻擊推到了安全對話的前沿。
惡意行為者似乎正在通過攻擊IT合作伙伴的生態(tài)系統(tǒng),挑戰(zhàn)政府和所有行業(yè)的網絡防御系統(tǒng)。我認為,對于那些受到高度監(jiān)管的行業(yè)來說,風險尤其高,因為黑客可以通過它們的數(shù)字供應鏈利用這些行業(yè),獲取消費者寶貴而敏感的數(shù)據(jù)。
云采用率激增:進一步增加風險
然而,風險并不止于此。隨著銀行和其他金融機構越來越依賴云計算,網絡彈性以及與運營彈性相關的更廣泛的考慮因素正處于IT決策的最前沿。
美國政府正在注意到這一點,并發(fā)布了對“云濃度”后果的評估,因為它可能危及金融穩(wěn)定。此外,拜登政府發(fā)布的《國家網絡安全戰(zhàn)略》也可以被視為在不同參與水平中提高安全和合規(guī)標準的一個步驟。
我們必須做好保護和應對惡意攻擊的準備,但這只是建立一個有彈性的組織的一部分。一些企業(yè)可能沒有考慮到由于缺乏彈性而帶來的業(yè)務風險。技術漏洞(例如云提供商的中斷)可能會對云服務的完整性產生潛在的負面影響,而且還會破壞客戶的業(yè)務運營,如果所有工作負載都駐留在單個云提供商中的話。這就是混合多云方法對于保持企業(yè)在處理危機時持續(xù)運營至關重要的原因。
日益嚴格的監(jiān)管審查
白宮并不是唯一注意到這一點的政府機構。美國財政部最近發(fā)布的《云采用報告》也對基于云服務的技術集中對金融部門的潛在影響表示擔憂。該報告是一個跳板,為推出推動風險管理的未來建議奠定了基礎。
然而,我們都應該將其視為一個強烈的信號,預示著即將發(fā)生的事情——行業(yè)將努力應對監(jiān)管,以控制云計算集中和供應鏈依賴風險。但是,當企業(yè)應對這些日益嚴格的法規(guī)時,他們必須記住,有一個重要因素是不容置疑的:云計算的好處。事實上,云可以成為安全性的力量倍增器,使企業(yè)能夠提高其彈性并降低風險,前提是有效利用云。
從事金融服務的企業(yè)需要靈活的技術平臺,這些平臺可以幫助它們快速實現(xiàn)現(xiàn)代化,以應對數(shù)字至上的消費者不斷變化的需求——包括在幾分鐘內迅速獲得貸款審批,計算其購買的碳足跡。這些日常活動需要銀行、金融科技公司和其他金融機構收集、存儲和管理客戶最機密的數(shù)據(jù)。
云計算為保護這些數(shù)據(jù)提供了巨大的機會,因為金融服務行業(yè)在擴大金融普惠性以及管理社區(qū)金融福祉方面取得了突破性創(chuàng)新進展。然而,我們也認識到,客戶的信任和監(jiān)管機構的信心同樣事關重大。
我堅信,金融機構及其云合作伙伴生態(tài)系統(tǒng)需要共同解決云計算的復雜性,以減輕潛在的彈性威脅。這意味著要讓人員、流程和技術協(xié)同工作,從制定IT戰(zhàn)略的第一階段一直到執(zhí)行,通過設計來管理復雜性。
記住云不是目的地而是一個驅動器
我們明白,監(jiān)管機構將始終面臨責任的挑戰(zhàn),他們必須制定政策,在數(shù)字化轉型之旅中建立和維持信任。然而,我們都需要明白,答案可能不是完全依賴于單一的云提供商。它是關于理解業(yè)務流程和應用程序的獨特性,以開發(fā)全面的工作負載部署策略。
混合多云對話應側重于有意選擇數(shù)據(jù)和工作負載的托管位置以及工作負載的部署位置。這些決策應該基于五個因素:彈性、性能、安全性、合規(guī)性和總擁有成本。現(xiàn)實情況是,工作負載可能需要在不同的環(huán)境中運行才能成功執(zhí)行。
然而,如果實施不當,可能會導致不必要的風險。將內部部署系統(tǒng)與一系列云環(huán)境混合在一起可能會導致金融機構的操作復雜性達到一定程度,從而使IT團隊不堪重負。對于金融技術公司來說,從一開始就進行適當?shù)囊?guī)劃,選擇合適的部署地點來安全管理數(shù)據(jù)以降低風險,這一點至關重要。
事實是,從IT的角度來看,沒有一種“放之四海而皆準”的方法可以滿足不同行業(yè)的需求。這就是為什么金融機構必須明白,云不是目的地——它是一個驅動器。
以網絡彈性抵御網絡風險
在混合多云環(huán)境中,想要從網絡攻擊中恢復可能極具挑戰(zhàn)性,因為各種工作負載、基礎設施和設備分布在多個環(huán)境中。在“孤島”中實施安全策略可能會使情況變得更糟,這為可怕的“弗蘭肯云(Frankencloud)”環(huán)境鋪平了道路,使網絡掠奪者能夠找到進入企業(yè)的途徑。
我認為,網絡彈性策略應該設計為單一控制點,使金融機構能夠全面了解其環(huán)境以及潛在威脅。這就是合作伙伴關系執(zhí)行至關重要的地方,云提供商在混合、多云環(huán)境中共同創(chuàng)建和鞏固安全和彈性策略。
隨著企業(yè)不斷創(chuàng)新,監(jiān)管審查不斷加強,我們需要確保網絡安全成為重中之重。我堅信,混合、多云戰(zhàn)略是朝著正確方向邁出的關鍵一步,可以提高運營彈性。然而,云社區(qū)需要在金融機構、監(jiān)管機構和政府之間建立信任——這需要我們所有人的共同努力。
