在当下的大环境下,部分企业对安全问题抱有一种恐惧、不确定和怀疑的态度,在这种企业文化和环境中,员工不可避免会将安全团队视为“守门人”或“专门说‘不’的部门”。在亚马逊云科技,对安全文化的理解有所不同。安全团队不应阻碍企业实现目标,而是应当推动企业安全地向前发展。安全团队工作做到位,完全可以成为企业发展的助推器。
亚马逊云科技致力于培养一种积极的安全文化,并根据自身的技术发展和周围世界的变化情况,不断发展、完善这一文化。安全文化的成功,取决于以下三大支柱:企业是否重视安全工作;企业能否构建适当的机制与工具;企业能否采用自动化技术,帮助客户按需调整服务规模。
安全是每个人的职责
要彰显安全和合规对企业的重要意义,首席信息安全官和IT负责人的作用非常关键。亚马逊云科技特意安排安全团队直接向首席执行官汇报工作。这种做法的目的是将安全团队纳入亚马逊云科技决策流程。亚马逊云科技的安全团队每周都会与亚马逊云科技领导层举行例会,确保在安全问题上策略和战略决策正确。
安全文化需要自上而下构建,但是,安全责任则需要自下而上承担。亚马逊云科技致力于在高级管理层树立一种正确态度,即安全不仅仅是安全团队的职责,也是每个人均应共同承担的职责。
在亚马逊云科技营造的文化和环境中,员工一旦发现潜在安全问题,可以无需任何顾虑随时、及早告知。亚马逊云科技将这一过程称为“上报”,这也是亚马逊云科技运营模式的根本。简言之,通过这一过程,亚马逊云科技可以确保任何问题出现时,均会在适当的时间点,提交给适当人员作出相关决策。
机制与善意
亚马逊云科技认为,良好动机本身无法转化为行动。要将动机转化为行动,必须制定相关机制。机制就是将动机转化为行动所需的一整套流程和各种工具。具体到安全领域,需要的机制是构建自动化防护栏,而非设立关卡。
防护栏可以提高团队的行动速度,因为就相对常规的安全实践而言,防护栏可以实现自动化操作。这不仅可以使团队成员集中精力处理对判断力要求较高的决策工作,而且还能帮助他们做出正确选择。例如,亚马逊云科技服务在存储客户数据时,会对数据进行加密,在默认情况下,用户仅可访问自身创建的账户。因此,企业须制定专门的数据政策,规定用户共享数据的方式和对象。
协作型安全文化
亚马逊云科技安全团队与服务团队携手,共同为客户解决问题。任何团队遇到安全问题,或者在软件测试过程中遇到任何问题,亚马逊云科技都会提供指导,与其联手解决问题。
协作的核心是透明度。亚马逊云科技采用多种方式,帮助客户落实协作型安全文化;方式之一是帮助客户建设端到端的检测与监控能力,使客户能够全面掌握基础设施各个部分的安全状况。亚马逊云科技安全服务利用机器学习技术,可以几近实时地大规模检测潜在安全问题,并使用调查工具进行核心原因的分析。不仅如此,每处理一次事件后,亚马逊云科技安全服务都会变得更加智能。亚马逊云科技采用这一主动型策略,以数据为依托,使各个团队达成必要共识,彼此协作,快速识别并解决问题。
构建协作型安全文化的另一个关键是人才多元化。亚马逊云科技致力实现的目标是构建多元化、包容性的团队,确保团队成员具有不同的视角、背景和思维方式,从而帮助亚马逊云科技以富有创造性的方式,应对挑战,并最终成长为更高效的全能型安全组织。
积极进步
安全文化建设应以持续进步为根本。安全问题很容易成为负面关注焦点,但是大部分人不了解的是,安全团队每天需要采取数以万亿计的行动和决策。
亚马逊云科技采取乐观而负责的态度,坚信企业采用适当的流程、自动化技术,并保持信息透明,不仅可以实现云端安全,也能建立公众对企业的信任。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
责任编辑:kj005
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com