文/Anand Adya
隨著數(shù)字化轉(zhuǎn)型的加速,經(jīng)濟(jì)的發(fā)展越來(lái)越需要企業(yè)系統(tǒng)來(lái)跟上日益增長(zhǎng)的業(yè)務(wù)節(jié)奏,沒有哪個(gè)行業(yè)或地區(qū)能幸免于此。事實(shí)上,全球超過有超過77%的交易與SAP系統(tǒng)有關(guān)。再加上Oracle、Workday、NetSuite和微軟Dynamics 365等其它財(cái)務(wù)系統(tǒng),現(xiàn)在企業(yè)的大多數(shù)交易都涉及一個(gè)或多個(gè)財(cái)務(wù)系統(tǒng)。
這種對(duì)企業(yè)系統(tǒng)的巨大依賴是有代價(jià)的,特別是當(dāng)這些系統(tǒng)宕機(jī)的時(shí)候——無(wú)論是由于網(wǎng)絡(luò)問題、硬件故障、配置不當(dāng)還是受外部因素影響導(dǎo)致的數(shù)據(jù)泄露。研究表明,對(duì)于許多大型公司來(lái)說(shuō),一個(gè)小時(shí)的宕機(jī)時(shí)間可能會(huì)造成高達(dá)100萬(wàn)美元的損失,而當(dāng)應(yīng)用程序長(zhǎng)時(shí)間宕機(jī)時(shí),會(huì)導(dǎo)致產(chǎn)生巨大的費(fèi)用。
為了提高業(yè)務(wù)連續(xù)性和可靠性,許多企業(yè)正在快速地將這些系統(tǒng)轉(zhuǎn)移到云端,像微軟Dynamics 365、NetSuite和Workday等都是在云端誕生的。即使是SAP這樣的大型企業(yè)系統(tǒng),也給現(xiàn)有客戶帶來(lái)了壓力,迫使其轉(zhuǎn)向更現(xiàn)代化的云計(jì)算解決方案。如今,有51%的客戶正在將大約81%的流程遷移到SAP S4/HANA。
盡管上云降低了企業(yè)對(duì)系統(tǒng)的維護(hù)負(fù)擔(dān),但云上系統(tǒng)成為了攻擊目標(biāo)。IDC的一項(xiàng)調(diào)查顯示,在接受調(diào)查的使用公有云的企業(yè)中,有98%在過去18個(gè)月里出現(xiàn)過數(shù)據(jù)泄露問題。這些數(shù)據(jù)泄露的成本以每年超過10%的速度增長(zhǎng),進(jìn)而導(dǎo)致每發(fā)生一次數(shù)據(jù)泄露,潛在的成本高達(dá)數(shù)千到數(shù)百萬(wàn)美元。
這個(gè)問題背后的部分原因在于,企業(yè)沒有通過持續(xù)的發(fā)展以適應(yīng)不斷變化的應(yīng)用程序和威脅,大多數(shù)企業(yè)都依賴于應(yīng)用程序所有者和IT管理員來(lái)處理ERP系統(tǒng)的安全性。根據(jù)Turnkey和Onapsis的報(bào)告,67%的受訪企業(yè)將這一職責(zé)交給了IT部門,而只有18%的企業(yè)擁有信息安全團(tuán)隊(duì)來(lái)執(zhí)行這一功能。
在過去,將企業(yè)安全職責(zé)交給IT是一種合理的安排,因?yàn)榇蠖鄶?shù)這些解決方案是由企業(yè)自己負(fù)責(zé)的,并由CISO管理的企業(yè)網(wǎng)絡(luò)對(duì)其進(jìn)行保護(hù)。但是當(dāng)這些解決方案轉(zhuǎn)移到公共云時(shí),它們便會(huì)遭到各種懷有惡意的攻擊,而IT團(tuán)隊(duì)沒有配備必要的技能和工具來(lái)檢測(cè)和應(yīng)對(duì)這些新出現(xiàn)的威脅。
展望未來(lái),企業(yè)需要依靠財(cái)務(wù)、IT和安全組織的相互協(xié)作,以確保其能夠在整個(gè)數(shù)字轉(zhuǎn)型過程中保持業(yè)務(wù)和性能的連續(xù)性。具體來(lái)說(shuō),每一方要負(fù)責(zé)管理日益復(fù)雜的企業(yè)生態(tài)中的獨(dú)立但互補(bǔ)的方面。
通常情況下,財(cái)務(wù)領(lǐng)導(dǎo)者往往會(huì)推卸技術(shù)實(shí)施和數(shù)據(jù)安全方面的責(zé)任,其若想在新環(huán)境下取得成功,便需要推動(dòng)以下進(jìn)程:
定義角色,并為組織中的不同用戶配置特定的訪問路徑,以確保用戶遵守最低權(quán)限訪問準(zhǔn)則。
采購(gòu)現(xiàn)代化的、安全的開箱即用云解決方案,確保其可以與其它應(yīng)用程序無(wú)縫對(duì)接。
設(shè)計(jì)和實(shí)施合適的自動(dòng)化控制,以確保企業(yè)的業(yè)務(wù)流程能夠在多個(gè)云應(yīng)用程序之間平穩(wěn)安全地運(yùn)行。
在過去,IT領(lǐng)導(dǎo)者將其工作重點(diǎn)集中在技術(shù)方面,即維護(hù)技術(shù)基礎(chǔ)設(shè)施和應(yīng)用程序,但在新時(shí)代的環(huán)境下,他們需要推動(dòng)以下進(jìn)程:
根據(jù)云策略、架構(gòu)、通用基礎(chǔ)設(shè)施和最佳實(shí)踐方面制定規(guī)則,以構(gòu)建一個(gè)有彈性的應(yīng)用生態(tài)系統(tǒng)。
部署和配置應(yīng)用程序和相關(guān)集成,以確保數(shù)據(jù)和業(yè)務(wù)流程免受內(nèi)部和外部威脅。
確??煽康膽?yīng)用程序更新和升級(jí)方法,為應(yīng)用程序的更改提供安全手段,不引入不必要的風(fēng)險(xiǎn)。
在過去,安全領(lǐng)導(dǎo)者專注于建立一個(gè)不可滲透的企業(yè)網(wǎng)絡(luò),以確保企業(yè)所依賴的關(guān)鍵基礎(chǔ)設(shè)施的安全,而未來(lái)他們則需要推動(dòng)以下進(jìn)程:
對(duì)存儲(chǔ)在網(wǎng)絡(luò)和云中的關(guān)鍵數(shù)據(jù)進(jìn)行分類和定義,并監(jiān)控對(duì)這些數(shù)據(jù)的訪問,以確保關(guān)鍵數(shù)據(jù)的泄露被檢測(cè)到并迅速修復(fù)。
推動(dòng)全組織范圍內(nèi)與零信任、身份和訪問管理相關(guān)的舉措,為內(nèi)部和云資源提供全面的安全策略。
與業(yè)務(wù)團(tuán)隊(duì)合作,了解企業(yè)應(yīng)用程序、托管環(huán)境和所需控制的完整情況,以免受到威脅。
雖然數(shù)字化轉(zhuǎn)型是每家企業(yè)的優(yōu)先任務(wù),但在不考慮潛在風(fēng)險(xiǎn)的情況下推進(jìn)云計(jì)算的采用,可能會(huì)帶來(lái)更多的數(shù)據(jù)泄露和應(yīng)用程序宕機(jī)等嚴(yán)重后果。幸運(yùn)的是,通過財(cái)務(wù)、IT和安全之間的適當(dāng)協(xié)作,企業(yè)可以在實(shí)現(xiàn)數(shù)字轉(zhuǎn)型的過程中不必?fù)?dān)心負(fù)面結(jié)果。每一方都在推動(dòng)企業(yè)向云過渡的過程中扮演著重要的角色,而將這些不同的技能結(jié)合在一起對(duì)于確保實(shí)現(xiàn)轉(zhuǎn)型目標(biāo)至關(guān)重要。
Anand Adya是福布斯科技委員會(huì)成員。