Lỗ hổng trên PaaS và cách bảo mật

Không thể phủ nhận rằng các giải pháp tối ưu hóa dữ liệu nắm bắt thành công kinh doanh ngày nay. Các nền tảng như một dịch vụ xử lý nhiều khía cạnh của dữ liệu hướng tới khách hàng của doanh nghiệp đã cách mạng hóa cách các công ty lớn tương tác với khách hàng của họ, thúc đẩy cá nhân hóa, dịch vụ tốt hơn và tương tác giá trị cao hơn.

Tính linh hoạt của các giải pháp PaaS như Salesforce đã cho phép trải nghiệm khách hàng 360 độ tuyệt vời và tăng trưởng vượt bậc về giá trị. Nó cũng đã cho phép các nhà phát triển nắm quyền quản trị trong tay họ, thường không có sự hiểu biết hoặc kiểm soát thích hợp cần thiết để giảm thiểu mối đe dọa của các tác nhân xấu, nội bộ hoặc bên ngoài đối với doanh nghiệp.

Hầu hết các giải pháp PaaS đều được trang bị khung bảo mật chủ động để cho phép thành công, nhưng nhiều nhà lãnh đạo CISO, CIO và CNTT thiếu hiểu biết đầy đủ về trách nhiệm chung cần có để đảm bảo tuân thủ liên tục.

Có một số tình huống phổ biến mà tất cả chúng ta đã nghe nói, chẳng hạn như đại diện dược phẩm mang cuốn sách kinh doanh của anh ấy đến với đối thủ cạnh tranh. Và sau đó, có nhiều kịch bản đáng ngạc nhiên hơn, như các tổ chức chăm sóc sức khỏe vô tình tiết lộ thông tin sức khỏe được bảo vệ cho tất cả các đại diện dịch vụ khách hàng của họ, hoặc các công ty quản lý tài sản có thực tập sinh mùa hè có quyền truy cập vào tất cả các số An sinh xã hội của khách hàng có giá trị ròng cao của họ.

Đây là những lỗ hổng được tạo ra, thường là vô tình, bởi các quản trị viên và nhà phát triển đang cố gắng hỗ trợ doanh nghiệp tốt nhất mà họ biết. Chúng cũng có thể được ngăn chặn với khung quản trị phù hợp và kiểm soát nội bộ để hạn chế quyền truy cập.

Các khả năng bảo mật mạnh mẽ được cung cấp bởi PaaS thường được mua và đã bật bật nhưng thực sự không làm gì để cung cấp hiểu biết về rủi ro hoặc ngăn chặn hành động của các tác nhân xấu. Cũng như nhiều khả năng bảo mật, các doanh nghiệp không may mua và bật các tính năng cao cấp này mà không hiểu trách nhiệm thực sự của họ là gì và làm thế nào để tạo ra mô hình quản trị phù hợp dựa trên các mối đe dọa thực sự.

Tại sao PaaS có thể là một lỗ hổng

Các nền tảng như một dịch vụ cung cấp khả năng bảo mật rất lớn nhưng có thể được thực hiện theo cách không an toàn khi quản trị dữ liệu là một suy nghĩ sau. Sự linh hoạt to lớn để hỗ trợ ngành nghề kinh doanh có xu hướng trở thành người điều khiển, với sự quản trị và tuân thủ đã giảm xuống mức tranh giành vào phút cuối.

Các lỗ hổng xảy ra khi những người sai – hoặc có thể tệ hơn, mọi người trong một tổ chức – nhận được quyền truy cập không bị kiểm soát vào dữ liệu nằm trong một nền tảng. Cấp quyền truy cập quản trị trên toàn hệ thống cho bất kỳ ai trong bảng lương là một công thức cho thảm họa. Tại sao thực tập sinh bán thời gian cần truy cập vào thông tin nhạy cảm như số An sinh xã hội, dữ liệu nguồn gốc cho vay và thông tin cụ thể về thẻ tín dụng? Bạn đoán nó: Họ không. Trong những trường hợp như thế này, vô minh không phải là phúc lạc. Nguy hiểm.

Bước đầu tiên trong việc sửa lỗi phổ biến này là tìm hiểu chính xác dữ liệu nào tồn tại trong PaaS của doanh nghiệp bạn. Bạn cần một kế hoạch quản trị dữ liệu khách quan, rõ ràng, vì vậy mọi thứ từ nhu cầu tuân thủ đến nghĩa vụ của cổ đông cần phải được tính đến.

Một số câu hỏi có thể hướng dẫn kiểm toán dữ liệu của bạn bao gồm:

  • Thông tin nào thực sự nằm trong ví dụ của bạn?
  • Thông tin đang được lưu trữ ở đâu?
  • Ai có quyền truy cập vào thông tin?
  • Bạn có đáp ứng yêu cầu tuân thủ?
  • Làm thế nào để chúng ta đánh giá dữ liệu?

Làm thế nào để đạt được bảo mật thích hợp

Nghe có vẻ lạ, nhưng suy nghĩ như một hacker có thể giúp tăng cường bảo mật cho nền tảng của bạn. Tìm các lỗ và vết nứt, và làm việc để phá vỡ chúng. Khi đã hoàn thành, hãy quyết tâm liên tục đánh giá rủi ro và thực hiện giảm thiểu. Luôn cập nhật về tư thế an ninh của bạn đòi hỏi nỗ lực liên tục và ăn thịt voi dễ dàng hơn một lần cắn. Bắt đầu với việc tìm hiểu lý do tại sao của bạn và thông báo bản đồ đường thẳng phía trước.

Để tăng cường bảo mật nền tảng của bạn và bảo vệ dữ liệu của bạn – huyết mạch của doanh nghiệp của bạn, hãy thực hiện một số bước cơ bản:

1. Tìm ra ai quan tâm:  Xác định ai trong tổ chức có chuyên môn, kiến ​​thức và trách nhiệm với dữ liệu PaaS của bạn. Nếu bạn không thể tìm thấy chủ sở hữu quan tâm, bạn nên cho rằng vấn đề của bạn lớn hơn bạn nghĩ.

2. Bắt đầu ở đâu đó:  Kiểm kê và phân loại dữ liệu có thể đáng sợ, nhưng nếu bạn không biết dữ liệu bạn có, thật khó để xác định bạn cảm thấy thế nào về nó. Bắt đầu với một bài tập đơn giản để tìm hiểu những gì được thu thập và lưu trữ trong hệ thống của bạn. Từ đó, bạn có bối cảnh về cách bạn đánh giá dữ liệu này và các điều khiển thích hợp để đặt vào vị trí nào.

3. Hỏi ai thấy cái gì:  Bắt đầu với một số tình huống giả định và xem câu trả lời nào trở lại. Làm đúng người có quyền truy cập vào thông tin đúng? Bạn đã áp dụng một cách tiếp cận quản lý truy cập đặc quyền cho dữ liệu?

Khi bạn đã bắt đầu với những điều cơ bản này, bạn có kiến ​​thức để tạo ra một chiến lược có thể hành động để đến nơi bạn muốn đến. Hãy nhớ rằng, bảo mật thích hợp không phải là một danh sách kiểm tra; đó là một hành trình phát triển mà không có đích đến cuối cùng. Hành trình quản trị của bạn phát triển khi PaaS của bạn phát triển, mỗi lần chạy nước rút nhanh nhẹn.

Leave a Reply

Your email address will not be published.


*