Новые цифровые технологии ведут к беспрецедентным темпам изменений во всех отраслях. Чтобы оставаться конкурентоспособными в этом быстро меняющемся мире, организациям необходимы, прежде всего, скорость и гибкость. Именно это обещают облачные инфраструктура и услуги.

Благодаря эффекту масштаба и гибкому ценообразованию, облака предлагают доступ к передовым технологиям практически безграничного глобального масштаба без капитальных вложений, связанных с внедрением собственных решений.

Однако реализация всего потенциала облачных технологий требует фундаментальных изменений не только в концепции, предоставлении и эксплуатации ИТ- и ОТ-услуг, но и в культуре и организационной структуре всей организации.

Кибербезопасность должна сыграть решающую роль в этом переходе — помочь бизнесу воспользоваться этими возможностями и обеспечить, чтобы амбиции, побуждающие к внедрению облачных технологий, не подвергали риску всю организацию. Решение этой задачи требует, чтобы команды кибербезопасности прошли через свой собственный путь к облачным технологиям. Задача может быть сложной, но есть ключевые факторы, которые доказали свою эффективность.

Принять разнообразие

Предпочтительный выбор облачной среды часто варьируется от одной команды к другой — исходя из их знакомства с конкретными платформами или их конкретных потребностей и целей. Принуждение всех к использованию единого централизованно выбранного варианта, хотя и упрощает управление, зачастую просто нецелесообразно. Это может снизить удовлетворенность персонала, увеличить время создания ценности и ограничить потенциальные преимущества, которые компания может получить от облака.

Поскольку 76% организаций используют двух или более облачных провайдеров, команды по кибербезопасности и сетевым технологиям должны решить задачу поддержки бизнеса в этом аспекте, обеспечив одинаковый уровень защиты и подключения, необходимый для обеспечения безопасности и интеграции различных облачных сред.

Стандартизация

Единственный способ обеспечить согласованную защиту на различных облачных платформах — это стандартизация. Внедряя безопасность на базовом уровне системы, организации могут обеспечить одинаковый уровень защиты корпоративного класса в различных средах. Это дает бизнесу свободу в выборе платформы и уверенность.

Для команд безопасности единая, совместная система упрощает их сложную задачу по обеспечению защиты и глубокой видимости в таком разнообразном и распределенном цифровом ландшафте. Операции и обучение становятся проще, внедрение эффективнее, а общий уровень защиты повышается. Если этого не сделать, то можно столкнуться с проблемами и барьерами, которые могут затормозить переход организации к облаку.

Принять практики DevOps

Интеграция безопасности в гибкие облачные среды требует, чтобы команды по безопасности и сетевым технологиям внедрили практики, инструменты, культуру и образ мышления DevOps. Сама безопасность становится кодом — так называемой Infrastructure as Code (IaC) или просто потребляемой услугой. Она оркеструется инструментами DevOps, проверяется в собственном конвейере CI/CD (Continuous Integration/Continuous Deployment) и размещается в центральных репозиториях для доступа всех команд.

Такая безопасность как код или как услуга должна быть самообслуживаемой, гибкой и модульной. Она должна интегрировать защиту в режиме реального времени для проактивного снижения рисков, будь то атаки, уязвимости или простые ошибки, и использовать искусственный интеллект и машинное обучение для минимизации трудностей. По сути, команды безопасности должны обеспечивать масштабирование и гибкость по требованию, присущие миру DevOps. Автоматизация и API являются ключом к этому.

Преимущество DevSecOps

Команды по безопасности и сетевым технологиям, освоившие облако и преуспевшие в этом гибком мире, несут настоящую ценность для бизнеса. Интегрированная команда разработки, безопасности и эксплуатации (DevSecOps) использует свой междисциплинарный опыт и согласовывает цели для достижения лучших бизнес-результатов быстрее, эффективнее и с меньшими рисками.

Благодаря тому, что безопасность является неотъемлемым элементом общей среды на каждом этапе жизненного цикла программного обеспечения, проще управлять рисками, а защищенность бизнеса контролируется на всех этапах. Это сводит к минимуму неожиданности в последнюю минуту или дорогостоящие переделки по мере того, как код переходит от разработки к тестированию и развертыванию. А поскольку на разных этапах среда может отличаться, кросс-платформенный подход к безопасности упрощает эту задачу. Абстрагирование и автоматизация снова абсолютно необходимы.

Инвестируйте в повышение квалификации

Адаптация к новым методам работы, новым средам и новым инструментам требует от сотрудников гибкости. Теперь все является кодом, а каждая облачная среда совершенно уникальна и проприетарна. Команды должны понять, как обеспечить безопасность в этих средах, разобраться в доступных услугах и различных вариантах и решить, как лучше их использовать. Это становится еще более сложной задачей по мере того, как команды внедряют микросервисы.

Чтобы ускорить этот процесс, воспользуйтесь знаниями поставщиков. У них есть опыт разработки и интеграции систем безопасности во всевозможные облачные среды для широкого спектра клиентов. Их проверенные и испытанные модульные конструкции представляют собой базовые шаблоны, которые могут быть настроены и адаптированы к любым конкретным потребностям. Многие из них также предоставляют бесплатное обучение и даже могут предложить облачный консалтинг и профессиональные услуги, чтобы ускорить переход команды на облачные технологии.

Используйте все преимущества облачных технологий

Помимо поддержки и обеспечения перехода других команд на облачные технологии, команды по безопасности и сетевым технологиям также могут воспользоваться преимуществами облачных технологий для предоставления собственных услуг. По мере запуска новых проектов или обновления существующих решений безопасности, они могут воспользоваться этими ресурсами и повысить уровень своих возможностей так же, как это делают их коллеги:

  • Должны ли мы реализовать этот проект или просто потреблять нужное решение как услугу — Security as a Service (SecaaS)?
  • Если реализовать, то в облаке или на собственных мощностях?
  • Если в облаке, то в каком?
  • Какими облачными сервисами мы можем воспользоваться для автоматизации управления рисками, защиты от угроз и обеспечения комплаенс-процедур?

Таким образом, облако предоставляет возможность изменить способы, которыми вы обеспечиваете безопасность и подключение.

Создайте Центр передового опыта в облачных технологиях

Переход к облачным технологиям — задача не из простых. Он требует наличия необходимых навыков и структуры, чтобы быть эффективными в рамках целой организации. Он требует координации, согласования и согласия между различными функциями и командами. Облачный центр передового опыта (CCoE) — это наиболее эффективный подход к обеспечению такого перехода.

Эта многопрофильная команда может ускорить внедрение облачных технологий, объединив ключевые навыки и таланты, способные обеспечить стандартизацию и автоматизацию, которые имеют решающее значение для успеха облачных технологий. Речь идет не о создании статичной команды технологических экспертов. Это адаптивное сообщество специалистов по технологиям, финансам, закупкам и бизнес-стейкхолдеров, которое развивается в соответствии с потребностями организации для достижения бизнес-целей облака и управления рисками.

Взаимодействуйте с советом директоров

Успешный переход к облачным технологиям требует новых организационных процессов, структур и значительного повышения квалификации персонала. Помощь руководства имеет решающее значение. Хорошая новость состоит в том, что облачные технологии и кибербезопасность стали ключевыми темами на уровне совета директоров. Это создает возможность, которой могут воспользоваться специалисты по кибербезопасности, обладающие деловой хваткой.

Для этого необходимо научиться взаимодействовать и общаться с руководителями, используя язык бизнеса. Уметь четко сформулировать бизнес-ценность, которую кибербезопасность и новые структуры предлагают организации с точки зрения времени создания ценности, конкурентных преимуществ, оценки бизнеса, управления рисками и соответствия нормативным требованиям. Это может оказать неоценимую помощь в изменении роли, которую играет безопасность в бизнес-процессах, и в получении поддержки ключевых инициатив.

При успешной навигации переход к облачным технологиям обеспечивает скорость, гибкость и получение передовых услуг, которые создают основу для цифрового успеха организации. Для служб кибербезопасности и сетевых команд это возможность изменить свою роль в организации и позиционировать себя в качестве критически важных помощников в достижении успеха.

Шерелл Фаррингтон, менеджер по решениям облачной безопасности Fortinet