Katell Thielemann Beth Schumaecker David Mahdi

當一家醫(yī)療服務機構(gòu)的首席信息安全官Amy仔細查看全公司的云安全時，她意識到默認訪問控制模型正在引起各種訪問問題。BeWell的基礎設施即服務（IaaS）提供商默認設置成只允許企業(yè)主訪問的安全狀態(tài)。

另一方面，軟件即服務（SaaS）提供商默認設置成完全開放訪問。在使用多個云的情況下，Amy無法手動放寬IaaS的權(quán)限，也無法對SaaS進行充分的控制。那么該如何解決這個問題呢？答案是自動化。

當前，首席信息安全官不會再遇到“你們?nèi)绾翁峁┌踩⒐芾盹L險”這樣的簡單問題，新的挑戰(zhàn)是“你們?nèi)绾螏椭髽I(yè)實現(xiàn)更多價值，同時評估和管理風險、安全甚至安防”等更復雜的問題。使用自動化是為企業(yè)機構(gòu)帶來價值的最佳方式。

自動化所帶來的影響

自動化正在通過兩種方式影響世界：第一，自動化實現(xiàn)了安全和風險控制功能;第二，自動化是一項需要被承認和理解的新型安全前沿技術(shù)。

隨著業(yè)務的各個部分都開始使用云、區(qū)塊鏈、數(shù)字孿生和沉浸式技術(shù)等新興技術(shù)，像Amy這樣的首席信息安全官將會因各種優(yōu)先任務而不知所措。

其他業(yè)務部門可能會在沒有就安全問題咨詢安全和風險管理領導者的情況下構(gòu)建解決方案。這意味著他們每天都在做出與技術(shù)相關(guān)的選擇，而沒有意識到他們正在做的事情所具有的潛在風險。安全和風險管理領導者無法控制，有時甚至無法得知這些業(yè)務選擇，而這些業(yè)務選擇可能帶來嚴重的后果，尤其是在數(shù)字化業(yè)務潛力不斷增長的情況下。

數(shù)字化轉(zhuǎn)型改變了安全需求以及所需的技能組合與能力，它帶來了難以填補（甚至不可能填補）的新人才缺口。

業(yè)務中的自動化

許多自動化工具都是臨時的，但也有一些是針對流程關(guān)鍵部分的正規(guī)自動化工具。有些工具使用一種技術(shù)，有些類型的自動化工具則使用多種技術(shù)。例如機器人流程自動化最適合用于以任務為中心的環(huán)境以及使用預測建模、回歸分析、預報和模式匹配回答“可能發(fā)生什么”這一問題的預測分析。

有些公司準備使用自動化降低成本，規(guī)范或提高生產(chǎn)效率。有些公司準備使用它來提高風險控制的質(zhì)量和一致性，同時減少人為錯誤。企業(yè)機構(gòu)還準備使用自動化提高速度或靈活性。

持續(xù)自適應風險與信任評估成為重要推手

無論如何使用自動化，安全和風險管理領導者都不會再依賴傳統(tǒng)的安全策略。持續(xù)自適應風險與信任評估（CARTA）是一種承認沒有完美保護方法的模式，因此這種模式采用了隨時隨地調(diào)整安全策略的管理方法。

安全和風險管理領導者要有意識地采取既能最大程度降低自身所在企業(yè)機構(gòu)運行風險，又能幫助企業(yè)機構(gòu)獲得回報的自適應自動化方法。安全和風險管理領導者必須根據(jù)情況平衡風險和信任，在自動化藍圖中找到自己的位置，實現(xiàn)自己的價值。

自動化的確會增加風險。例如算法中可能有來自創(chuàng)建者的隱式和顯式偏差，或者不可信操作系統(tǒng)上的算法可能被外界秘密地操控。因此，任何有關(guān)自動化的選擇都必須謹慎并且符合當前和未來的情況。

雖然有風險，但如果能夠作出正確的選擇，自動化會給安全團隊和業(yè)務帶來巨大的益處。

通過自動化實現(xiàn)價值

安全和風險專業(yè)人員必須在三個領域使用自動化實現(xiàn)價值，分別是：身份識別、數(shù)據(jù)和新產(chǎn)品或服務開發(fā)。

身份識別是所有其他安全控制的基礎。在任何情況下，有關(guān)身份識別的決定都應該保持在安全和風險團隊的控制范圍內(nèi)。隨著越來越多的業(yè)務遷移到云環(huán)境，這一點變得更加重要。由于系統(tǒng)和公司變得日益復雜，單純依靠幾個密碼進行身份確認已十分困難且危險。

可以考慮使用智能風險引擎自動執(zhí)行流程中的特定部分。持續(xù)自適應風險與信任評估身份識別方法將成為確保風險引擎既不會過于放松，也不會過于嚴格的關(guān)鍵，同時該方法也適用于用戶。

數(shù)據(jù)已成為企業(yè)價值的重要組成部分

業(yè)務如同“數(shù)據(jù)生產(chǎn)工廠”。如果無法保護和監(jiān)控數(shù)據(jù)，則會產(chǎn)生高昂的代價，甚至損害企業(yè)機構(gòu)的價值。

可以檢查所有IaaS和SaaS應用程序的訪問控制模型，考慮使用云訪問安全代理（CASB）對數(shù)據(jù)和文件進行識別和分類。同時使用云訪問安全代理和企業(yè)數(shù)字版權(quán)管理將控制延伸到整個企業(yè)，覆蓋所有位置的數(shù)據(jù)。

新產(chǎn)品或服務開發(fā)是公司關(guān)注的焦點

為了獲得競爭優(yōu)勢，各家公司正在開發(fā)新的產(chǎn)品和服務，同時使用新興技術(shù)把握新的商機。由于公司越來越需要加快產(chǎn)品進入市場的速度，開發(fā)運維（DevOps）流程可能會違反安全協(xié)議。自動化可以幫助實現(xiàn)安全開發(fā)運維（DevSecOps）的終極目標，在一開始就將安全集成到流程中，不產(chǎn)生任何負面影響。

可以考慮自動化選項，例如交互式應用程序安全測試這一基于機器的解決方案可以讓用戶從內(nèi)部觀察應用程序的行為。之后，用戶的團隊就可以將安全測試放在質(zhì)量檢測之上并且避免使用單一的安全測試用例。

在這些至關(guān)重要的優(yōu)先任務中，安全和風險管理領導者必須將他們想要處理的任務、其他團隊可以合理完成的任務以及無法保證時間或精力的任務按優(yōu)先級別排序。安全團隊還必須考慮如何將自動化集成到系統(tǒng)中以及如何在持續(xù)自適應風險與信任評估安全方法中合理使用自動化。

為了管理和支持價值保護并實現(xiàn)價值創(chuàng)造，安全和風險管理領導者的工作就是識別和管理這種緊張局面，并在自動化藍圖中找到自己的位置。