มีการแลกเปลี่ยนระหว่างความพยายามด้านความปลอดภัยของ AI ในทันทีและระยะยาวหรือไม่?
สิ่งที่ฉันมักจะ ได้ยินในชุมชนการเรียนรู้ของเครื่องและบทความสื่อคือ “ความกังวลเกี่ยวกับความฉลาดหลักแหลมคือการเบี่ยงเบนความสนใจจากปัญหา * จริง * X ที่เรากำลังเผชิญอยู่ในปัจจุบันด้วย AI” (โดยที่ X = อคติของอัลกอริทึม การว่างงานทางเทคโนโลยี การตีความได้ ความเป็นส่วนตัวของข้อมูล เป็นต้น) ทัศนคติเชิงแข่งขันนี้ทำให้รู้สึกว่าข้อกังวลด้านความปลอดภัยในทันทีและระยะยาวมีความขัดแย้งกัน แต่มีข้อแลกเปลี่ยนระหว่างพวกเขาจริงๆหรือ?
เราสามารถทำให้คำถามนี้เฉพาะเจาะจงมากขึ้นได้: ความพยายามทั้งสองประเภทนี้จะแข่งขันกันเพื่อแย่งชิงทรัพยากรใด
ความสนใจของสื่อ ด้วยความสนใจของสื่อใน AI อย่างมากมาย จึงมีบทความมากมายเกี่ยวกับประเด็นเหล่านี้ บทความเกี่ยวกับความปลอดภัยขั้นสูงของ AI ส่วนใหญ่เป็นชิ้นส่วนที่ตื่นตระหนกกับเทอร์มิเนเตอร์ซึ่งไม่สนใจความซับซ้อนของปัญหา สิ่งนี้สร้างความรำคาญให้กับนักวิจัย AI หลายคน และทำให้พวกเขาบางคนละเลยความเสี่ยงเหล่านี้โดยพิจารณาจากภาพล้อเลียนที่นำเสนอในสื่อแทนที่จะเป็นข้อโต้แย้งที่แท้จริง ผลกระทบโดยรวมของความสนใจของสื่อที่มีต่อความเสี่ยงด้าน AI ขั้นสูงนั้นเป็นไปในทางลบอย่างมาก ฉันจะมีความสุขมากถ้าสื่อหยุดเขียนเกี่ยวกับ superintelligence โดยสิ้นเชิงและมุ่งเน้นไปที่คำถามด้านความปลอดภัยและจริยธรรมเกี่ยวกับระบบ AI ในปัจจุบัน
เงินทุน เงินทุนส่วนใหญ่สำหรับงานด้านความปลอดภัย AI ขั้นสูงในปัจจุบันมาจากผู้บริจาคและองค์กรที่สนใจปัญหาเหล่านี้เป็นพิเศษ เช่นOpen Philanthropy Projectและ Elon Musk พวกเขาไม่น่าจะให้ทุนสนับสนุนงานด้านความปลอดภัยที่ไม่ใช่ระบบ AI ขั้นสูง ดังนั้นการบริจาคของพวกเขาเพื่อการวิจัยด้านความปลอดภัย AI ขั้นสูงจะไม่ทำให้เงินทุนหมดไปจากปัญหาที่เกิดขึ้นในทันที ตรงกันข้ามโครงการให้ทุนครั้งแรกของ FLIได้รับเงินทุนบางส่วนสำหรับปัญหาปัจจุบันเกี่ยวกับ AI (เช่น ผลกระทบทางเศรษฐกิจและทางกฎหมาย) ไม่มีการระดมทุนที่แน่นอนที่ความปลอดภัยในทันทีและระยะยาวกำลังแข่งขันกัน – มันเหมือนกับวงกลมที่กำลังเติบโตสองวงที่ไม่ทับซ้อนกันมากนัก มีการระดมทุนเพิ่มขึ้นในทั้งสองสาขา และหวังว่าแนวโน้มนี้จะดำเนินต่อไป
ความสามารถพิเศษ. ขอบเขตของความปลอดภัย AI ขั้นสูงเติบโตขึ้นในช่วงไม่กี่ปีที่ผ่านมา แต่ยังมีขนาดเล็กมาก และ “การระบายของสมอง” ที่เกิดจากนักวิจัยที่จะดำเนินการเกี่ยวกับเรื่องนี้ก็มีความสำคัญน้อยมาก แรงจูงใจในการทำงานกับปัญหาในปัจจุบันและระยะยาวก็มักจะแตกต่างกันเช่นกัน และปัญหาเหล่านี้มักจะดึงดูดผู้คนประเภทต่างๆ ตัวอย่างเช่น ผู้ที่ให้ความสำคัญกับความยุติธรรมทางสังคมเป็นหลักมักจะทำงานกับอคติแบบอัลกอริทึม ในขณะที่ผู้ที่ให้ความสำคัญกับอนาคตในระยะยาวเป็นหลักมีแนวโน้มที่จะทำงานกับความเสี่ยงด้านสติปัญญาขั้นสูง
โดยรวมแล้ว ดูเหมือนว่าจะไม่มีการแลกเปลี่ยนกันมากนักในแง่ของเงินทุนหรือความสามารถ และการแลกเปลี่ยนความสนใจของสื่อ (ในทางทฤษฎี) สามารถแก้ไขได้โดยการอุทิศเวลาออกอากาศทั้งหมดให้กับข้อกังวลในปัจจุบัน ไม่เพียงแต่ปัญหาเหล่านี้จะไม่ขัดแย้งกันเท่านั้น แต่ยังมีการร่วมมือกันระหว่างการจัดการกับปัญหาเหล่านี้ด้วย ทั้งสองได้รับประโยชน์จากการส่งเสริมวัฒนธรรมในชุมชนการวิจัย AI ที่ใส่ใจเกี่ยวกับผลกระทบทางสังคมและการดำเนินการเชิงรุกเกี่ยวกับความเสี่ยง ปัญหาด้านความปลอดภัยบางอย่างมีความเกี่ยวข้องสูงทั้งในระยะสั้นและระยะยาว เช่น การตีความและตัวอย่างที่เป็นปฏิปักษ์ ฉันคิดว่าเราต้องการคนที่ทำงานเกี่ยวกับปัญหาเหล่านี้มากขึ้นสำหรับระบบปัจจุบัน ในขณะที่ยังคงความสามารถในการปรับขนาดให้เข้ากับระบบในอนาคตที่ก้าวหน้ายิ่งขึ้น
ปัญหาด้านความปลอดภัยของ AI มีความสำคัญเกินกว่าที่การสนทนาจะสะดุดเพราะการแข่งขันสถานะเช่น “ปัญหาของฉันดีกว่าของคุณ” การแบ่งขั้วเท็จประเภทนี้เป็นการเบี่ยงเบนความสนใจจากเป้าหมายร่วมกันเพื่อให้แน่ใจว่า AI มีผลกระทบเชิงบวกต่อโลกทั้งในปัจจุบันและอนาคต ผู้ที่ใส่ใจเกี่ยวกับความปลอดภัยของระบบ AI ในปัจจุบันและอนาคตเป็นพันธมิตรโดยธรรมชาติ มาสนับสนุนซึ่งกันและกันบนเส้นทางสู่เป้าหมายร่วมกันนี้
จัดการกระบวนการ DevSecOps ด้วยส่วนผสมที่ต้องการ
DevSecOps ช่วยให้องค์กรสามารถฝังการรักษาความปลอดภัยลงในเวิร์กโฟลว์ของตนได้ แทนที่จะใช้การพัฒนาแบบเบ็ดเสร็จ สิ่งนี้ช่วยให้นักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยมีเป้าหมายร่วมกันของการกำหนดค่าความปลอดภัยที่ได้รับการตรวจสอบ แก้ไข และจัดการอย่างต่อเนื่องสำหรับการรักษาความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนการสร้างโซลูชันที่ยืดหยุ่นและคล่องตัว ตัวอย่างเช่น บริษัทประกันภัยแห่งหนึ่งได้ย้ายแอปพลิเคชันหลายร้อยรายการไปยังระบบคลาวด์ DevSecOps ช่วยให้ทีมวิศวกรรมระบบคลาวด์สามารถวางแผนสถาปัตยกรรมของสภาพแวดล้อมได้ดีขึ้น และสร้างโครงสร้างพื้นฐานระบบคลาวด์เพื่อเปิดใช้งานการโยกย้ายที่ปลอดภัย กระบวนการเหล่านี้สามารถเสริมเพิ่มเติมได้โดย ระบบอัตโนมัติด้านความปลอดภัยและเครื่องมือประสานเพื่อปรับใช้เวิร์กโฟลว์ที่มีโครงสร้าง ทำให้งานด้านความปลอดภัยเป็นอัตโนมัติ และป้องกันและตรวจจับภัยคุกคาม
ทักษะ/ความสามารถ. เทคโนโลยีรุ่นเก่าใช้อุปกรณ์เสมือน เช่น จากผู้จำหน่ายไฟร์วอลล์เพื่อรักษาความปลอดภัยระบบ ในขณะที่เทคโนโลยีคลาวด์ต้องการความเข้าใจเกี่ยวกับการกำหนดค่าความปลอดภัย การเปลี่ยนแปลงนี้ต้องการรูปแบบการดำเนินงานที่มีความสามารถแบบใหม่ ซึ่งจะย้ายงานออกจากกรอบการพัฒนา นำไปใช้ และปรับใช้ ตามด้วยความปลอดภัย Shift-left หมายถึงการรักษาความปลอดภัยที่เกี่ยวข้องล่วงหน้าเพื่อจัดเตรียมข้อมูลพื้นฐานและการกำหนดค่า และตั้งค่าสถาปัตยกรรมก่อนเริ่มใช้งานจริง ซึ่งช่วยลดความจำเป็นที่ต้องทำในภายหลัง สิ่งนี้นำไปสู่รูปแบบการดำเนินงานและการบูรณาการที่มีความสามารถที่แตกต่างกันมาก
ไมโครเซอร์วิส ในขณะที่องค์กรต่างๆ มองหาการปรับปรุงแอปพลิเคชันรุ่นเก่าให้ทันสมัยเพื่อสร้างบริการแบบจุดต่อจุดที่มีความคล่องตัวมากขึ้น โมเดลการทำงานของไมโครเซอร์วิสบนคลาวด์ควรพิจารณาข้อจำกัดของผู้จำหน่ายและปัญหาด้านความสามารถในการเคลื่อนย้าย/ความสามารถในการทำงานร่วมกันของผู้จำหน่าย องค์กรสามารถพิจารณาเลเยอร์มิดเดิลแวร์แบบไม่เชื่อเรื่องพระเจ้าหรือโมเดลการปรับใช้ไมโครเซอร์วิส ซึ่งช่วยให้ลูกค้าสามารถแก้ไขปัญหาต่างๆ เช่น มัลติคลาวด์ ตลอดจนปัญหาทั่วทั้งระบบขององค์กร
กรอบการควบคุมความปลอดภัยบนคลาวด์
ในระดับ C การย้ายจากภายในองค์กรไปยังระบบคลาวด์มักจะต้องเปลี่ยนความคิดด้านความปลอดภัย—จากการจัดการโครงสร้างพื้นฐานทางกายภาพไปจนถึงการตรวจสอบการเข้าถึงใน “สภาพแวดล้อมแบบกระจายที่ไม่มีสถานะ” ที่สำคัญ กรอบการควบคุมควรระบุถึงเครือข่าย แพลตฟอร์ม และโครงสร้างพื้นฐาน ความปลอดภัยของผู้ใช้และข้อมูล และความปลอดภัยของแอปพลิเคชันหลัก
เครือข่าย แพลตฟอร์ม และโครงสร้างพื้นฐาน
“การรักษาความปลอดภัยโดยการออกแบบ” ช่วยให้นักพัฒนาระบบคลาวด์และทีมรักษาความปลอดภัยสามารถสร้างรั้วกั้นในโครงสร้างพื้นฐานได้ สร้างกระบวนการที่คล่องตัวและปลอดภัย ดังนั้น ก่อนที่นักพัฒนาจะสามารถเข้าถึงสภาพแวดล้อมระบบคลาวด์ CIO และทีมงานควรพิจารณาแนวทางชั้นนำในการรักษาความปลอดภัยเครือข่าย อาจเป็นการฝังรั้วกั้นลงในแพลตฟอร์มคลาวด์ด้วยโครงสร้างพื้นฐานด้านไอที “ความปลอดภัยโดยการออกแบบ” หรือเพื่อวางกระบวนการด้านไอที “ความปลอดภัยโดยการออกแบบ” ที่เข้มงวด (เช่น ผู้ใช้ที่ได้รับอนุญาตซึ่งรับผิดชอบในการตรวจสอบโครงสร้างพื้นฐานและซอร์สโค้ดก่อนผลักดันสู่การผลิต) . แนวปฏิบัติชั้นนำของอุตสาหกรรมกำลังเปลี่ยนจากการรักษาความปลอดภัยตามขอบเขตไปสู่สถาปัตยกรรมความปลอดภัยเครือข่ายที่ไว้วางใจไม่ได้ ซึ่งช่วยให้สภาพแวดล้อมของนักพัฒนาแบบโมดูลาร์มากขึ้น เช่นเดียวกับการแบ่งส่วนย่อยเพื่อให้ระดับต่างๆ ของการเข้าถึงโครงสร้างพื้นฐานและการควบคุมทั่วทั้งเครือข่าย การเข้าถึงข้อมูลประจำตัว และแอปพลิเคชัน
ตัวอย่างของแนวทางโครงสร้างพื้นฐาน องค์กรจัดการสินทรัพย์แห่งหนึ่งได้ย้ายจากคลาวด์ส่วนตัวไปยังคลาวด์สาธารณะ และฝังการควบคุมหลายร้อยรายการลงในแพลตฟอร์มคลาวด์ที่ระดับโค้ดก่อนที่จะให้สิทธิ์การเข้าถึงระดับผู้ดูแลระบบแก่นักพัฒนา การควบคุมเหล่านี้ทำหน้าที่เป็นรั้วกั้น ส่งผลให้สร้างสภาพแวดล้อมการพัฒนาที่ปลอดภัยและเป็นไปตามข้อกำหนดได้สำเร็จ
อีกวิธีหนึ่ง การนำวิธีการของกระบวนการไปใช้ องค์กรบริการทางการเงินอื่นได้นำคีย์ของนักพัฒนาออกหรือถูกจำกัดอย่างเข้มงวดในระดับสูง เพื่อเปลี่ยนการเข้าถึงและกระบวนการสำหรับการปรับใช้โค้ด สิ่งนี้กระตุ้นให้เกิดการเปลี่ยนแปลงทางวัฒนธรรมครั้งใหญ่สำหรับนักพัฒนาที่ก่อนหน้านี้สามารถผลักดันการเปลี่ยนแปลงแอปพลิเคชันให้ดำเนินไปอย่างอิสระมากขึ้น สิทธิ์ถูกจำกัดไว้เฉพาะกลุ่มเล็กๆ เพื่อเสริมสร้างโปรโตคอลใหม่ องค์กรได้เฝ้าติดตามพฤติกรรมที่เบี่ยงเบนไปจากกระบวนการควบคุมใหม่ โดยเฉพาะอย่างยิ่ง สถานการณ์ทั่วไปอย่างหนึ่งของนักพัฒนาในขณะนี้ไม่ได้รับอนุญาตให้ผลักดันการอัปเดตสดโดยใช้เครื่องเสมือนเพื่อเลี่ยงผ่านเครื่องมือการจัดการสิทธิ์การเข้าถึง ดังนั้นจึงอาจสร้างพอร์ตที่เปิดเผยได้ เพื่อจัดการกับความเสี่ยงนี้ องค์กรได้ใช้ระบบการจัดการความปลอดภัยอัตโนมัติและโซลูชันการตอบสนอง ทำให้บริษัทสามารถรวบรวมข้อมูลการดำเนินการด้านความปลอดภัย สร้างกรณีธุรกิจเพื่อตรวจจับการเปลี่ยนแปลงการกำหนดค่าความปลอดภัย และจัดการความละเอียดของเวิร์กโฟลว์แบบกำหนดเองเพื่อตรวจทาน สิ่งนี้ทำให้บริษัทต้องการการมองเห็นสำหรับการตรวจสอบเครือข่ายเชิงรุกและความสามารถในการปิดพอร์ตที่เปิดอยู่
ความปลอดภัยของผู้ใช้และข้อมูล
การโยกย้ายระบบคลาวด์มักต้องการแนวทางใหม่ในการระบุตัวตน แม้ว่าข้อมูลประจำตัวทางกายภาพก่อนหน้านี้ (เช่น การเข้าถึงอาคาร) เป็นการอนุญาตที่ยอมรับได้ ในระบบแบบกระจายที่สามารถเข้าถึงได้จากทุกที่ อาจจำเป็นต้องมีข้อมูลรับรองการเข้าถึงระดับผู้ใช้และการจัดการคีย์ โปรโตคอลการจัดการการเข้าถึงข้อมูลประจำตัวสามารถป้อนลงในแพลตฟอร์มข้อมูลประจำตัวแบบโมดูลาร์พร้อมข้อกำหนดการเข้าถึงระดับผู้ใช้ การมุ่งเน้นที่การปกป้องข้อมูล ความเป็นส่วนตัว ความยืดหยุ่น และข้อบังคับสามารถชี้นำสิทธิ์การเข้าถึงข้อมูลและสิทธิพิเศษของผู้ใช้ ผู้บริหารควรวางแผนสร้างสมดุลระหว่างข้อกำหนดขั้นต่ำทางกฎหมายสำหรับการเข้ารหัสกับการเข้ารหัสที่มากเกินไป ซึ่งอาจทำให้แอปพลิเคชันทำงานช้าลง
ความปลอดภัยของแอปพลิเคชันหลัก
ก่อนย้ายข้อมูลหรือปริมาณงานไปยังคลาวด์ ทีมคลาวด์และไซเบอร์ควรกำหนดว่าการควบคุมขั้นต่ำต่อไปนี้มีอยู่แล้ว
การป้องกันภาระงาน – ตั้งค่ารั้วฐานและการกำหนดค่าขั้นต่ำเพื่อป้องกันการปรับใช้ ตัวอย่างเช่น องค์กรอาจมีเทมเพลตที่กำหนดไว้ล่วงหน้าสำหรับแอปพลิเคชันแบบอิงตามฟังก์ชันหรือแบบคอนเทนเนอร์
การรักษาความปลอดภัยเขตเชื่อมโยงไป -establish สภาพแวดล้อมที่ปลอดภัยครอบคลุมโครงสร้างบัญชี, กฎความปลอดภัย,และบริการพื้นฐานอื่น ๆ ขึ้นอยู่กับรูปแบบการดำเนินงาน ตัวอย่างเช่น หลายองค์กรสร้างเครือข่ายย่อยสาธารณะและเครือข่ายย่อยส่วนตัวเป็นโซนเชื่อมโยงไปถึงสาธารณะ เทียบกับเครือข่ายเสมือนส่วนตัวสำหรับผู้ใช้องค์กร
ปลอดภัยด้วยการออกแบบ/DevSecOps –ปฏิบัติตามความปลอดภัยโดยการออกแบบและหลักการ DevSecOps ตามที่หารือกับคำแนะนำรูปแบบการดำเนินงาน
การแบ่งส่วนและความเชื่อถือเป็นศูนย์ – ใช้การแบ่งส่วนเครือข่ายและโปรโตคอลที่ไม่มีความเชื่อถือ ตัวอย่างเช่น องค์กรสามารถจำกัดการเข้าถึงผู้ดูแลระบบแบบเต็มสำหรับแอปพลิเคชันเฉพาะนักพัฒนาอาวุโสส่วนใหญ่ที่มีข้อมูลประจำตัวและการฝึกอบรมด้านความปลอดภัยที่เข้มงวดยิ่งขึ้น โดยใช้คอนเทนเนอร์สำหรับการแบ่งส่วนการเข้าถึงที่เป็นระดับชั้น
การจัดการพื้นผิวการโจมตี – จัดการแนวช่องโหว่ด้วยบริการที่ปรับให้เหมาะสมเพื่อปรับปรุงช่องโหว่และโปรแกรมพื้นผิวการโจมตี องค์กรสามารถมุ่งเน้นไปที่การระบุและประเมินสินทรัพย์ระบบคลาวด์ผ่านวงจรชีวิตและในชั้นสถาปัตยกรรมต่างๆ ตัวอย่างเช่น โรงงานอัจฉริยะสามารถคิดผ่านการไหลของข้อมูลผ่านระดับคลาวด์และเอดจ์เพื่อกำหนดความปลอดภัยในระบบนิเวศทั่วทั้งระบบนิเวศ
ข้อควรพิจารณาในการจัดการความเสี่ยงสำหรับโปรแกรมไซเบอร์บนคลาวด์
การโยกย้ายระบบคลาวด์สามารถลดความเสี่ยงด้านความปลอดภัยของโครงสร้างพื้นฐานบางอย่างที่ได้รับการจัดการในองค์กร ด้วยการเข้ารหัส การบันทึก เครือข่ายส่วนตัว การตรวจสอบ การป้องกัน DDoS แพตช์อัตโนมัติ และองค์ประกอบอื่นๆ ที่สร้างขึ้นในสภาพแวดล้อมคลาวด์ อย่างไรก็ตาม ระบบและแอปพลิเคชันที่ย้ายข้อมูลจำนวนมากไม่ได้ออกแบบมาเพื่อทำงานออนไลน์ เพื่อหลีกเลี่ยงความผิดหวังในเรื่องนี้ ก่อนเริ่มการโยกย้ายระบบคลาวด์ องค์กรสามารถดำเนินการประเมินความเสี่ยงทางไซเบอร์ เพื่อทำความเข้าใจเทคโนโลยีเฉพาะกฎระเบียบ และความเสี่ยงจากภายในและห่วงโซ่อุปทานตลอดจนแนวทางแก้ไขที่แนะนำ
ความเสี่ยงด้านเทคโนโลยี
แม้ว่าสิ่งเหล่านี้บางส่วนอาจเป็นพื้นที่ใหม่สำหรับทีมโยกย้ายระบบคลาวด์ องค์กรต้องเผชิญกับความเสี่ยงด้านเทคโนโลยีที่อาจเกิดขึ้นจำนวนหนึ่งในการบรรเทา ซึ่งเป็นส่วนหนึ่งของโปรแกรมไซเบอร์บนคลาวด์ ซึ่งทีมไซเบอร์บนคลาวด์แบบบูรณาการสามารถช่วยสร้างผลลัพธ์ที่ปลอดภัย คล่องตัว และน่าเชื่อถือยิ่งขึ้น
การทำความเข้าใจความเสี่ยงด้านเทคโนโลยีนั้นมีความสำคัญ—และอาจสร้างความประหลาดใจให้กับองค์กรที่เชื่อว่าระบบของตนได้รับการปกป้องอย่างดี ตัวอย่างเช่น สถาบันการเงินแห่งหนึ่งทำการสแกนตามปกติซึ่งพบว่ากลุ่มเทคโนโลยีมีช่องโหว่ในตัวมากกว่า 100,000 รายการ ทำให้เกิดภัยคุกคามด้านความปลอดภัยสูงและต้องการการแก้ไขทันทีที่ระดับแอปพลิเคชัน ฐานข้อมูล มิดเดิลแวร์ และโค้ด ความเสี่ยงนี้ส่วนหนึ่งกระตุ้นให้เกิดการโยกย้ายระบบคลาวด์และเป็นตัวอย่างของความเสี่ยงด้านแพลตฟอร์มและแอปพลิเคชันแบบเดิมที่ระบุไว้ในภาพที่ 1 หากทีมโยกย้ายระบบคลาวด์เลือกที่จะยกระดับและเปลี่ยนโครงสร้างพื้นฐานโดยไม่เข้าใจช่องโหว่เหล่านี้ก่อน องค์กรอาจเปลี่ยนความเสี่ยงบางอย่างไปยังระบบคลาวด์
[NPC4]ในอีกตัวอย่างหนึ่ง องค์กรสินค้าอุปโภคบริโภคที่ใช้ระบบปฏิบัติการที่ล้าสมัยมีศูนย์ข้อมูลเข้าครอบครองโดยแรนซัมแวร์ เมื่อซอฟต์แวร์แพตช์ในสภาพแวดล้อมการพัฒนาเข้าสู่การผลิต ช่องโหว่ด้านความปลอดภัยแบบเดิมที่อาจได้รับการปกป้องบ้างจากไฟร์วอลล์หรือความปลอดภัยในขอบเขตที่เปิดเผยเมื่อย้ายไปยังระบบคลาวด์และไม่ได้รับการแก้ไข หากองค์กรมีการประสานกันที่ดีขึ้นในทีมคลาวด์และไซเบอร์ ด้วยการควบคุมที่เหมาะสม เหตุการณ์ประเภทนี้ ซึ่งสามารถทำลายความไว้วางใจของผู้บริโภคได้อย่างมาก อาจหลีกเลี่ยงได้
การจัดการความเสี่ยงด้านเทคโนโลยีจำเป็นต้องมีความสมดุลในการทำความเข้าใจเทคโนโลยีที่มีอยู่และในอนาคตซึ่งเป็นแกนหลัก ซึ่งเป็นจุดแข็งของทีมโยกย้ายระบบคลาวด์ และให้คำแนะนำเกี่ยวกับวิธีการบรรเทาช่องโหว่ที่พึงประสงค์ด้วยแนวทางการรักษาความปลอดภัยที่ฝังรากอยู่ในแนวปฏิบัติชั้นนำในสี่ประเภทความเสี่ยงก่อนการย้าย เกิดขึ้นและแม้กระทั่งก่อนที่จะเลือกผู้จำหน่ายระบบคลาวด์
ความเสี่ยงด้านกฎระเบียบ
เมื่อทำการประเมินผู้จำหน่ายระบบคลาวด์ของตนและก่อนที่จะย้ายข้อมูลหรือปริมาณงาน องค์กรควรรวบรวมทีมรักษาความปลอดภัยบนระบบคลาวด์และทางไซเบอร์เพื่อพิจารณาข้อกำหนดการปฏิบัติตามกฎระเบียบที่สำคัญสี่ข้อ ซึ่งอาจส่งผลกระทบต่อเวิร์กโฟลว์ข้อมูลดาวน์สตรีมและการกำหนดค่าระบบ รวมถึงระเบียบการกำกับดูแลข้อมูลระดับสากลและระดับภูมิภาค กรอบงานตามอุตสาหกรรม และมาตรฐานเทคโนโลยีที่กว้างขึ้น รวมถึงกฎระเบียบเฉพาะของรัฐบาลสหรัฐฯ
องค์กรข้ามชาติขนาดใหญ่ระดับโลกที่ทำงานในภาครัฐและเอกชนอาจต้องต่อสู้กับกฎระเบียบด้านข้อมูลและเทคโนโลยีจำนวนมากขึ้น ในขณะที่องค์กรขนาดเล็กอาจยังคงต้องพิจารณาการผสมผสานของข้อมูล เฉพาะอุตสาหกรรม และกฎระเบียบระดับภูมิภาคในขณะที่คิดค้น กลยุทธ์ข้อมูลระบบคลาวด์และการควบคุมความเสี่ยงที่ตามมา อย่างไรก็ตาม แม้แต่ “องค์กรขนาดเล็ก” ก็ยังสามารถอยู่ภายใต้ข้อบังคับที่กว้างขึ้นข้ามพรมแดนอันเนื่องมาจากโลกาภิวัตน์ของข้อมูล
การตรวจสอบข้อกำหนดด้านความเสี่ยงด้านกฎระเบียบที่ดำเนินการโดยทีมคลาวด์และไซเบอร์ที่ทำงานร่วมกันสามารถปรับปรุงความเข้าใจเกี่ยวกับเฟรมเวิร์กข้อมูลที่มีอยู่ ความเสี่ยงที่เกี่ยวข้อง และข้อกำหนดด้านเทคโนโลยีที่จำเป็นเพื่อปรับปรุงการเลือกผู้ให้บริการคลาวด์ การเจรจา SLA และการทำสัญญา
ความเสี่ยงจากข้อมูลภายในและห่วงโซ่อุปทาน
สุดท้าย โปรแกรมความเสี่ยงทางไซเบอร์บนคลาวด์ควรพิจารณาภัยคุกคามจากภายในและห่วงโซ่อุปทาน ขององค์กรเป็นเวกเตอร์ภัยคุกคามเฉพาะเพื่อสร้างสมดุลระหว่างความปลอดภัยและความไว้วางใจภายในและภายนอกองค์กร และเพื่อหลีกเลี่ยงการรั่วไหลของข้อมูลที่อาจเกิดขึ้นและการรั่วไหล กิจกรรมการโยกย้ายระบบคลาวด์สามารถขัดแย้งกับความเสี่ยงภายในได้ผ่านการแบ่งปันการเข้าถึงข้อมูลรับรองหรือการสร้างจุดเชื่อมต่อเครือข่ายแบบเปิด โบรกเกอร์ความปลอดภัยในการเข้าถึงระบบคลาวด์ที่เฝ้าติดตามการสูญหายของข้อมูลและบังคับใช้การควบคุมในสภาพแวดล้อมแบบมัลติคลาวด์กำลังเพิ่มขึ้น พวกเขาสามารถช่วยให้องค์กรจัดการภัยคุกคามภายในได้ดียิ่งขึ้น และตรวจสอบการป้องกันข้อมูลสูญหาย ซึ่งประมาณ 75% ขององค์กรระบุว่าเป็นองค์ประกอบสำคัญของการรักษาความปลอดภัยระบบคลาวด์
การจัดการความเสี่ยงทางไซเบอร์กำหนดให้องค์กรต้องพิจารณาความเสี่ยงจากภายในและภายนอกที่แตกต่างกันและจุดเสี่ยงที่อาจเกิดขึ้นในห่วงโซ่อุปทานของตน สิ่งนี้สามารถทำได้โดยทีมคลาวด์และไซเบอร์แบบบูรณาการ ด้วยการมองเห็นและความโปร่งใส การสื่อสาร การทำงานร่วมกัน และการดำเนินการตามโปรแกรมการปฏิบัติตามกฎระเบียบแบบบูรณาการ (และเครื่องมือ) ทั่วทั้งซัพพลายเชน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อนี้ดู Deloitte Consulting LLP ของกำลังมองขอบฟ้า: การจัดเตรียมห่วงโซ่อุปทานในวันนี้เพื่อเจริญเติบโตในความไม่แน่นอน
สถานการณ์โปรแกรมคลาวด์
สุดท้าย ประเภทของโปรแกรมระบบคลาวด์เองจะส่งผลต่อรูปแบบการทำงานและโปรแกรมที่ตามมา ภาพกราฟิกต่อไปนี้ให้รายละเอียดเกี่ยวกับสถานการณ์ทั่วไปของโปรแกรมระบบคลาวด์สี่สถานการณ์ และข้อควรพิจารณาที่มีความซับซ้อนสูง ปานกลาง และต่ำสำหรับทีมคลาวด์และไซเบอร์ที่ผสานรวมเข้าด้วยกัน
บทสรุป: เริ่มต้น
นักพัฒนาระบบคลาวด์ไม่สามารถคาดหวังให้กลายเป็นผู้เชี่ยวชาญด้านความปลอดภัยในชั่วข้ามคืน หรือต้องคอยติดตามแนวภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา อย่างไรก็ตาม พวกเขาสามารถยอมรับการทำงานในทีมคลาวด์และไซเบอร์ที่ผสานรวมซึ่งนำรูปแบบการดำเนินงานเป้าหมาย ความคิดแบบกะซ้าย ไมโครเซอร์วิส ความเสี่ยง การควบคุม และประสบการณ์การปฏิบัติตามข้อกำหนดมาใช้ในช่วงจุดสำคัญในวงจรชีวิตการโยกย้ายระบบคลาวด์และด้วย “ความปลอดภัยโดยการออกแบบ” ” หลักการ สำหรับทีมเหล่านี้ ต่อไปนี้คือแนวคิดบางส่วนที่ควรพิจารณาซึ่งจะช่วยชี้นำเส้นทางความทันสมัยและการย้ายระบบคลาวด์ เสริมความยืดหยุ่นของธุรกิจและเทคโนโลยี ปรับปรุงความปลอดภัย และเสริมความไว้วางใจของลูกค้า:
พัฒนารูปแบบการดำเนินงานที่ทันสมัยซึ่งนำแนวทางและเทคโนโลยีใหม่ๆ ที่เป็นนวัตกรรมมาไว้ด้วยกัน รวมโมเดลความสามารถใหม่, DevSecOps และไมโครเซอร์วิส และพิจารณาการทำสัญญาล่วงหน้าและการแบ่งแยกบทบาทและความรับผิดชอบข้ามรูปแบบความรับผิดชอบร่วมกัน การลงทุนด้านความปลอดภัยของผู้ให้บริการระบบคลาวด์อาจดีกว่าการรักษาความปลอดภัยของคุณในปัจจุบัน
พัฒนากรอบการควบคุมที่ช่วยให้คุณยกระดับด้วยระบบคลาวด์และไซเบอร์ที่ผสานรวมมากขึ้น กระบวนการโอนย้ายให้โอกาสและความจำเป็นในการคิดทบทวนรูปแบบความปลอดภัย เครื่องมือ และความสามารถใหม่ กรอบงานการควบคุมระบบคลาวด์ควรเริ่มต้นด้วยความเข้าใจในข้อกำหนดของข้อมูลและครอบคลุมระดับผู้ใช้/ตัวตน เครือข่าย/โครงสร้างพื้นฐาน/แอปพลิเคชัน และการควบคุมแอปพลิเคชันหลัก องค์กรสามารถดำเนินการประเมินความเสี่ยงในเทคโนโลยี กฎระเบียบ และสภาพแวดล้อมทางไซเบอร์ ใช้การควบคุมที่เหมาะสมเพื่อเติมช่องว่างและแก้ไขความเสี่ยงเหล่านั้น และโยกย้ายปริมาณงานเพื่อรักษาความปลอดภัยโซนเชื่อมโยงไปถึงระบบคลาวด์
จัดการการปฏิบัติตาม แนวทางที่เป็นนวัตกรรมใหม่ ยังคงมีกระบวนการและแนวทางใหม่ๆ ที่พร้อมใช้งานเพื่อทำให้เป็นอัตโนมัติและลดภาระในการตรวจสอบการปฏิบัติตามข้อกำหนดที่ทันสมัย รับทราบข้อมูลเครื่องมือและกระบวนการล่าสุด
[NPC5]ด้วยการนำส่วนประกอบแต่ละส่วนเหล่านี้มารวมกันผ่านการโยกย้าย CoE ของคลาวด์ ซึ่งรวมถึงทีมงานที่ผสานรวมของผู้เชี่ยวชาญด้านคลาวด์และไซเบอร์ที่มีทักษะหลากหลาย องค์กรสามารถอยู่ในตำแหน่งที่ดีขึ้นเพื่อจัดการกับความต้องการ “วงจรชีวิต” ในวงกว้างเพื่อจัดลำดับความสำคัญของระดับความเสี่ยงด้านความปลอดภัยและบรรเทาสิ่งเหล่านั้น ความเสี่ยงด้วยการกำกับดูแลที่เหมาะสม การจัดการความเสี่ยง และการปฏิบัติตามข้อกำหนดในองค์ประกอบด้านความปลอดภัยเหล่านี้ ในท้ายที่สุด การโยกย้ายระบบคลาวด์จะมอบโอกาสให้กับธุรกิจและความยืดหยุ่นทางเทคโนโลยีที่มากขึ้น แต่ยังอาจปรับปรุงการรักษาความปลอดภัยและเพิ่มความไว้วางใจของผู้บริโภคอีกด้วย