适逢国际资料隐私日 (International Data Privacy Day),Seagate针对2023年安全趋势提出六大预测,将会是企业与组织在今年须着手解决的主要问题。
根据所属产业与地点,个人识别资讯、医疗保健、财务等各类别资料的处理方式皆有不同监管要求。若缺乏统一的资料分类策略,员工一旦不慎操作资料失当,企业将可能面临高额罚款,进而影响运营。有鉴于此,领先企业纷纷设法强化负责处理敏感资料部门与安全团队之间的合作。
云计算配置错误的问题将成为多方关注的焦点。此问题也渐渐成为资料外泄的主因,且有方兴未艾之势。在传统的企业本地资料存储环境中,仅有少数几位安全团队的成员负责管控防火墙,以阻挡攻击者窃取敏感资讯,并防止员工不慎将资料外流。
随着多云存储日益普及,安全的挑战也更加复杂难解。若在资料访问管理上缺乏安全防护机制和明确准则,企业恐将陷入极大风险。因此,企业必须将整体云计算基础架构的法令遵循性 (Compliance) 视为首要任务。云计算环境中一旦出现任何配置错误或漏洞,即便员工只是鼠标一按,都可能意外造成整个数据库外泄。一旦资讯遭到公开,就很难避免被攻击者恶意滥用。
在美国,应对政府对软件安全日趋严苛的规范,以及客户对于软件的安全疑虑日益增长,软件企业被迫公开更多关于其技术堆栈的资讯。在层层压力下,客户将要求云计算供应商更加开放,并提供新的IT采购决策评估方法。
在2023年,软件企业应透明且以不避讳的态度与客户沟通,以强化其信任感。不仅客户对安全的疑虑有增无减,2022年时,美国更祭出联邦行政命令,除了要求软件与服务供应商透明披露其可能实际面临的安全事件,更严格地要求其公开潜在的安全风险与威胁。
在客户疑虑与监管法规的双重夹击下,软件与服务供应商需更开诚布公地说明其技术堆栈中可能隐含的安全风险。供应商未来须公开其软件物料清单 (SBOM) 中的内容,即应用程序中所使用到的软件与零部件的清单。例如,该应用程序是否使用了Log4J、Java或其他软件。知道这些详细资讯,有助于企业与组织在挑选供应商时做出更明智的选择,进而避开可能引发安全风险的产品。厂商若能更透明地披露其技术堆栈,在遭遇安全威胁时,将更有能力回应客户与监管机构的审查。
为了解决安全人才短缺的问题,企业已导入自动化安全工具,并从中获得成本效益。然而,管理这些工具需要搭配专业的技术,新的人才缺口也因此产生 — 因为管理自动化安全工具需要目前许多安全人员欠缺的专业能力。企业必须策略性运用新技术与强化IT人员的专业能力教育,才能有备无患,妥善防御安全威胁,并同时提升员工对公司的忠诚度。
安全法规正推动资料本地化的发展;IT决策者现在就应该做好准备。资料本地化主要受两大因素的驱动:边缘设备的普及,以及企业资料存储与运用相关法规的快速变迁。随着越来越多企业将资讯存放于边缘,企业对本地化存储与安全的需求也逐渐攀升。
随着资料本地化发展,更多企业必须开始遵守包括欧盟的《一般资料保护规范》(GDPR) 和美国加洲的《加州消费者隐私保护法》(CCPA) 在内的局部资料隐私法规。在局部法规的约束下,企业更难通过单一云来迎合所有的资料存储需求,而得更广泛地采用多云环境。如此一来,越来越多企业将需要在不同地区使用不同的云计算以满足不同的目的。随着越来越多企业迈向多云之路,他们都需要有明确的安全基础,以避免云计算配置错误问题,从而尽可能降低风险。