AI ที่โปร่งใสและตีความได้: บทสัมภาษณ์กับ Percy Liang
ณ สิ้นปี 2560 สภาผู้แทนราษฎรแห่งสหรัฐอเมริกาได้ผ่านร่างกฎหมายที่เรียกว่าพระราชบัญญัติการขับขี่ด้วยตนเอง (SELF DRIVE Act) โดยกำหนดกรอบการทำงานเบื้องต้นของรัฐบาลกลางสำหรับการควบคุมรถยนต์ที่เป็นอิสระ รถยนต์ขับเคลื่อนอัตโนมัติได้รับการทดสอบบนถนนสาธารณะมาเกือบสองทศวรรษแล้ว เมื่อผ่านร่างกฎหมายนี้ไปพร้อมกับประโยชน์ด้านความปลอดภัยที่เพิ่มขึ้นของรถยนต์ไร้คนขับ มีแนวโน้มว่าสิ่งเหล่านี้จะแพร่หลายมากขึ้นในชีวิตประจำวันของเรา สิ่งนี้เป็นจริงสำหรับเทคโนโลยีที่เป็นอิสระมากมาย รวมถึงเทคโนโลยีทางการแพทย์ กฎหมาย และความปลอดภัย เป็นต้น
ด้วยเหตุนี้ นักวิจัย นักพัฒนา และผู้ใช้จะต้องสามารถมั่นใจในเทคโนโลยีประเภทนี้ที่อาศัยปัญญาประดิษฐ์ (AI) เป็นอย่างมาก สิ่งนี้ครอบคลุมมากกว่ารถยนต์ไร้คนขับ โดยนำไปใช้กับทุกอย่างตั้งแต่อุปกรณ์รักษาความปลอดภัยในบ้านอัจฉริยะไปจนถึงผู้ช่วยส่วนตัวในโทรศัพท์ของคุณ
การคาดการณ์ในการเรียนรู้ของเครื่อง
Percy Liang ผู้ช่วยศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัยสแตนฟอร์ด อธิบายว่ามนุษย์อาศัยความสามารถในการคาดการณ์ในระดับหนึ่งในการโต้ตอบแบบวันต่อวัน ทั้งกับมนุษย์อื่นๆ และระบบอัตโนมัติ (รวมถึงแต่ไม่จำกัดเฉพาะรถยนต์ของพวกเขา) วิธีหนึ่งในการสร้างความสามารถในการคาดการณ์คือการใช้ประโยชน์จากแมชชีนเลิร์นนิง
แมชชีนเลิร์นนิงเกี่ยวข้องกับอัลกอริธึมที่อนุญาตให้ AI “เรียนรู้” ตามข้อมูลที่รวบรวมจากประสบการณ์ครั้งก่อน นักพัฒนาไม่จำเป็นต้องเขียนโค้ดที่กำหนดทุกการกระทำหรือความตั้งใจของ AI แต่ระบบจะรับรู้รูปแบบจากประสบการณ์และดำเนินการตามความเหมาะสมตามข้อมูลนั้น คล้ายกับกระบวนการลองผิดลองถูก
คำถามสำคัญที่มักถามถึงระบบแมชชีนเลิร์นนิงในสภาพแวดล้อมการวิจัยและการทดสอบคือ “ทำไมระบบถึงคาดการณ์เช่นนี้” เกี่ยวกับการค้นหาเจตนานี้ Liang อธิบายว่า:
“ถ้าคุณกำลังข้ามถนนและมีรถวิ่งเข้าหาคุณ คุณมีแบบจำลองว่าคนขับคนอื่นจะทำอะไร แต่ถ้ารถถูกควบคุมโดย AI มนุษย์จะรู้ได้อย่างไรว่าควรปฏิบัติตนอย่างไร”
สิ่งสำคัญคือต้องเห็นว่าระบบทำงานได้ดี แต่บางทีสิ่งที่สำคัญกว่านั้นก็คือความสามารถในการอธิบายด้วยคำที่เข้าใจได้ง่ายว่าทำไมจึงทำแบบนั้น แม้ว่าระบบจะไม่ถูกต้อง แต่ก็ต้องอธิบายและคาดเดาได้ เพื่อให้ AI ใช้งานได้อย่างปลอดภัย ระบบต้องอาศัยสมมติฐานที่เข้าใจดี สมจริง และสามารถทดสอบได้
ทฤษฎีปัจจุบันที่สำรวจแนวคิดของ AI ที่เชื่อถือได้ มุ่งเน้นไปที่การปรับผลลัพธ์ที่สังเกตได้ให้เหมาะสมในข้อมูลการฝึกอบรม อย่างไรก็ตาม ตามที่เหลียงอธิบาย สิ่งนี้อาจนำไปสู่ “ระบบขับขี่อัตโนมัติที่ทำงานได้ดีในการทดสอบการตรวจสอบ แต่ไม่เข้าใจคุณค่าของมนุษย์ที่เป็นรากฐานของผลลัพธ์ที่ต้องการ”
การทำการทดสอบหลายครั้งเป็นสิ่งสำคัญแน่นอน การจำลองประเภทนี้ Liang อธิบายว่า “ดีสำหรับเทคนิคการดีบัก — ช่วยให้เราดำเนินการทดลองที่มีการควบคุมได้ง่ายขึ้น และช่วยให้ทำซ้ำได้เร็วขึ้น”
อย่างไรก็ตาม เพื่อให้ทราบจริงๆ ว่าเทคนิคนั้นมีประสิทธิภาพหรือไม่ “ไม่มีสิ่งใดมาทดแทนการนำไปใช้ในชีวิตจริง” Liang กล่าว “สิ่งนี้ใช้ได้กับภาษา วิสัยทัศน์ และวิทยาการหุ่นยนต์” ยานยนต์ไร้คนขับอาจทำงานได้ดีในทุกสภาวะการทดสอบ แต่ไม่มีวิธีใดที่จะคาดการณ์ได้อย่างแม่นยำว่าจะสามารถทำงานได้ดีเพียงใดในภัยพิบัติทางธรรมชาติที่คาดเดาไม่ได้
ระบบ ML ที่ตีความได้
โมเดลที่มีประสิทธิภาพดีที่สุดในหลายโดเมน เช่น โครงข่ายประสาทลึกสำหรับการรู้จำภาพและคำพูด ค่อนข้างซับซ้อนอย่างเห็นได้ชัด สิ่งเหล่านี้ถือเป็น “แบบจำลองกล่องดำ” และการคาดการณ์อาจเป็นเรื่องยากสำหรับพวกเขาที่จะอธิบาย
Liang และทีมของเขากำลังทำงานเพื่อตีความแบบจำลองเหล่านี้โดยค้นคว้าว่าสถานการณ์การฝึกอบรมเฉพาะเจาะจงนำไปสู่การทำนายได้อย่างไร ตามที่ Liang อธิบาย “อัลกอริธึมการเรียนรู้ของเครื่องจะใช้ข้อมูลการฝึกอบรมและสร้างแบบจำลอง ซึ่งใช้ในการทำนายอินพุตใหม่”
การสังเกตประเภทนี้มีความสำคัญมากขึ้นเรื่อยๆ เนื่องจาก AI ทำงานที่ซับซ้อนมากขึ้น เช่น ให้นึกถึงสถานการณ์ชีวิตหรือความตาย เช่น การตีความการวินิจฉัยทางการแพทย์ Liang กล่าวว่า “หากข้อมูลการฝึกอบรมมีสิ่งผิดปกติหรือสร้างความขัดแย้ง สิ่งนี้จะส่งผลต่อ (เสียหาย) โมเดล ซึ่งจะทำให้การคาดการณ์เกี่ยวกับปัจจัยการผลิตใหม่อาจผิดพลาดได้ ฟังก์ชันอิทธิพลช่วยให้คุณติดตามได้อย่างแม่นยำว่าจุดการฝึกอบรมจุดเดียวจะส่งผลต่อการคาดการณ์ของอินพุตใหม่โดยเฉพาะได้อย่างไร”
โดยพื้นฐานแล้ว จากการทำความเข้าใจว่าทำไมตัวแบบจึงตัดสินใจได้ ทีมของ Liang หวังที่จะปรับปรุงวิธีการทำงานของแบบจำลอง ค้นพบวิทยาศาสตร์ใหม่ๆ และให้คำอธิบายเกี่ยวกับการกระทำที่มีผลกระทบต่อพวกเขา
อีกแง่มุมหนึ่งของการวิจัยของเหลียงคือการทำให้มั่นใจว่า AI เข้าใจและสามารถสื่อสารถึงขีดจำกัดของมนุษย์ได้ เขาอธิบายว่าเมตริกทั่วไปสำหรับความสำเร็จคือความแม่นยำโดยเฉลี่ย “ซึ่งไม่ใช่อินเทอร์เฟซที่ดีสำหรับความปลอดภัยของ AI” เขาวางตัวว่า “จะทำอย่างไรกับระบบที่เชื่อถือได้ 80 เปอร์เซ็นต์”
เหลียงไม่ได้มองหาระบบที่จะให้คำตอบที่ถูกต้อง 100 เปอร์เซ็นต์ตลอดเวลา แต่เขาต้องการให้ระบบสามารถยอมรับได้เมื่อไม่ทราบคำตอบ หากผู้ใช้ถามระบบว่า “ฉันควรใช้ยาแก้ปวดกี่ตัว” จะดีกว่าที่ระบบจะพูดว่า “ฉันไม่รู้” มากกว่าการทำนายที่ไม่ถูกต้องซึ่งมีราคาแพงหรือเป็นอันตราย
ทีมงานของ Liang กำลังทำงานเกี่ยวกับความท้าทายนี้โดยการติดตามการคาดการณ์ของแบบจำลองผ่านอัลกอริธึมการเรียนรู้ ไปจนถึงข้อมูลการฝึกอบรมที่มีต้นกำเนิดของพารามิเตอร์แบบจำลอง
ทีมของ Liang หวังว่าแนวทางนี้ – ในการมองโมเดลผ่านเลนส์ของข้อมูลการฝึกอบรม – จะกลายเป็นส่วนมาตรฐานของชุดเครื่องมือในการพัฒนา ทำความเข้าใจ และวิเคราะห์แมชชีนเลิร์นนิง เขาอธิบายว่านักวิจัยสามารถเชื่อมโยงสิ่งนี้กับแอพพลิเคชั่นมากมาย: การแพทย์ คอมพิวเตอร์ ระบบทำความเข้าใจภาษาธรรมชาติ และแอพพลิเคชั่นการวิเคราะห์ธุรกิจต่างๆ
“ผมคิดว่า” Liang กล่าวสรุป “มีความสับสนเกี่ยวกับบทบาทของการจำลอง— บางคนหลีกเลี่ยงมันทั้งหมดและบางคนมีความสุขที่ทำทุกอย่างในการจำลอง บางทีเราจำเป็นต้องเปลี่ยนวัฒนธรรมเพื่อให้มีที่สำหรับทั้งคู่ ”
ด้วยวิธีนี้ Liang และทีมของเขาวางแผนที่จะวางกรอบสำหรับอัลกอริธึมการเรียนรู้ของเครื่องรุ่นใหม่ที่ทำงานได้อย่างน่าเชื่อถือ ล้มเหลวอย่างงดงาม และลดความเสี่ยง
ความปลอดภัยตามการออกแบบ: ข้อควรพิจารณาเฉพาะ
ในท้ายที่สุด ทีมคลาวด์และไซเบอร์ควรมารวมกันซึ่งจัดการโดยผู้นำด้านความทันสมัยและการโยกย้าย Center of Excellence (CoE) (ซึ่งมักจะเป็นผู้นำการเปลี่ยนแปลงทางดิจิทัล) และเปิดใช้งานโดยการทำงานเป็นทีม ข้ามทักษะ และรูปแบบการดำเนินงานที่ใช้ร่วมกัน เมื่อเข้าที่แล้ว โมเดลการดำเนินงานสามารถใช้เพื่อเป็นแนวทางในการทำงานร่วมกัน การประสานงาน และการใช้งานที่มากขึ้นข้ามการควบคุม และการจัดการความเสี่ยงและการปฏิบัติตามข้อกำหนดในลักษณะที่สร้างการรักษาความปลอดภัยที่ชั้นโครงสร้างพื้นฐานด้านไอที ในขณะที่ส่งเสริมธุรกิจ (และในท้ายที่สุด) ลูกค้า ประสบการณ์.
ทีมงานแบบบูรณาการนี้อาจจำเป็นต้องทำงานร่วมกัน:
ริเริ่มโครงการปรับปรุงและการย้ายถิ่นฐานให้ทันสมัย สิ่งนี้ไม่สามารถจินตนาการได้ในไซโลโดยไม่เข้าใจวัตถุประสงค์ทางธุรกิจที่กว้างขึ้น และรวมถึงการประเมินปัญหาความต่อเนื่องทางธุรกิจ การอัปเกรดระดับบริการ และผลกระทบที่อาจเกิดขึ้นกับลูกค้า นอกจากนี้ยังหมายถึงการทำความเข้าใจสินทรัพย์ที่สำคัญขององค์กรและปกป้องพวกเขาด้วยกลยุทธ์ที่เน้นทางไซเบอร์ ตัวอย่างเช่น กับผู้ค้าปลีกรายใหญ่ ข้อมูลนี้อาจเป็นข้อมูลเกี่ยวกับการขายผลิตภัณฑ์และความชอบของลูกค้า
ทำความเข้าใจกับเทคโนโลยีและแนวทางการรักษาความปลอดภัยระบบคลาวด์แบบใหม่ ผู้นำควรเปิดรับรูปแบบการดำเนินงานใหม่ที่นำทีมคลาวด์และไซเบอร์มารวมกัน โดยคำนึงถึงแง่มุมต่างๆ ของการปรับปรุงให้ทันสมัย รวมถึงรูปแบบการปฏิบัติงานที่มีความสามารถพิเศษ DevSecOps ไมโครเซอร์วิส และอื่นๆ โมเดลการดำเนินงานสามารถพิจารณาข้อเสนอ การใช้งาน และความสามารถใหม่ๆ จากผู้ให้บริการโซลูชัน (เช่น จุดเข้าใช้งานบนระบบคลาวด์) และแนวปฏิบัติชั้นนำด้านการรักษาความปลอดภัยทางไซเบอร์ (เช่น กรอบงานความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ)
กำหนดข้อกำหนดด้านความปลอดภัยขององค์กรล่วงหน้า การตรวจสอบให้แน่ใจว่าข้อกำหนดต่างๆ นั้นไม่เสียดสีและนำไปใช้ในกระบวนการพัฒนานั้นถือเป็นสิ่งสำคัญ แทนที่จะยึดติดอยู่กับที่ เลือกแพลตฟอร์มที่มีชั้นความปลอดภัยที่เกี่ยวข้องตามข้อกำหนดขององค์กร เช่น ความเสี่ยงและระเบียบข้อบังคับ ตัวอย่างเช่น ผู้ให้บริการระบบคลาวด์รายหนึ่งอาจมีโซลูชันอุตสาหกรรมที่ปรับแต่งได้อย่างเหมาะสมสำหรับ Health Insurance Portability and Accountability Act (HIPAA) ซึ่งมีจุดมุ่งหมายเพื่อปรับปรุงการไหลของข้อมูลการดูแลสุขภาพให้ทันสมัย เทียบกับผู้ให้บริการระบบคลาวด์รายอื่น หรืออาจแบ่งปันข้อมูลรายไตรมาสแทนที่จะส่งผลกระทบ รายงานการปฏิบัติตามข้อกำหนดรายเดือน
การระบุผู้ที่น่าจะทำงานกับรูปแบบบริการที่ใช้ร่วมกันและโครงสร้างทีมไซเบอร์บนคลาวด์ พัฒนาความปลอดภัยบนคลาวด์อย่างมีสติ ซึ่งรวมถึงการเข้าถึงข้อมูลประจำตัว ความปลอดภัยระดับแอปพลิเคชัน ความปลอดภัยเครือข่าย ความปลอดภัยของแพลตฟอร์ม ความปลอดภัยของโครงสร้างพื้นฐาน และแม้กระทั่งความปลอดภัยระดับรหัส ตามหลักการแล้ว กระบวนการนี้ควรเข้าใจข้อตกลงระดับบริการของผู้ให้บริการระบบคลาวด์ และใช้ประโยชน์จากการควบคุมที่เกี่ยวข้อง กลยุทธ์ความเสี่ยง และแนวปฏิบัติชั้นนำด้านการปฏิบัติตามกฎระเบียบ ตัวอย่างเช่น องค์กรสามารถตั้งค่า CoE กับสมาชิกทีมคลาวด์และไซเบอร์ภายใน เช่นเดียวกับผู้ให้บริการคลาวด์ภายนอกและผู้ให้บริการที่มีการจัดการ
รูปแบบการดำเนินการปรับปรุงระบบคลาวด์ใหม่สำหรับการรักษาความปลอดภัยบนคลาวด์โดยการออกแบบ
ในหลายองค์กร หน่วยงานทางไซเบอร์ถูกกีดกันจากส่วนอื่นๆ ขององค์กร ซึ่งมักจะมีความโปร่งใสน้อยที่สุดและ/หรือไม่สมบูรณ์ ซึ่งอาจขัดขวางความไว้วางใจได้ เมื่อบริษัทต่างๆ ย้ายข้อมูลไปยังระบบคลาวด์ ปัญหานี้น่าจะเพิ่มขึ้น และบางทีการโยกย้ายเองอาจทำได้ยากขึ้น
ซึ่งทำให้การรักษาความปลอดภัยโดยการออกแบบโดยทีมงานแบบบูรณาการมีความสำคัญมากขึ้น อันที่จริง หลักฐานบ่งชี้ว่าสิ่งนี้กำลังเกิดขึ้นแล้ว บทสัมภาษณ์ของเราเปิดเผยว่าการเปลี่ยนแปลงด้านความปลอดภัยบนคลาวด์ครั้งใหญ่ที่สุดคือการย้ายจากนักพัฒนาที่จัดการความปลอดภัยไปสู่รูปแบบการทำงานร่วมกันมากขึ้นในเทคโนโลยี C-suite เมื่อห้าปีที่แล้ว Chief Information Officer (CIO) สามารถดูแลและให้ทุนสนับสนุนโครงการโยกย้ายระบบคลาวด์ โดยไม่ต้องมีการรักษาความปลอดภัยที่เกี่ยวข้องจนกว่าจะสิ้นสุด วันนี้มีการประสานงานกันมากขึ้นระหว่าง Chief Security Officer (CSO), Chief Information Security Officer (CISO) และ CIO,และความร่วมมือนี้น่าจะไหลลงมาสู่ความทันสมัยและการโยกย้าย CoE ทำให้ความเป็นเจ้าของสามารถเปลี่ยนแปลงได้อย่างชัดเจนในการดำเนินงานและความรับผิดชอบร่วมกัน แบบจำลองตั้งแต่การทำสัญญาล่วงหน้าและระหว่างกระบวนการพัฒนา
[NPC4]สติแบบบูรณาการวิธีการนี้สามารถใช้ในการวิเคราะห์และการรักษาความปลอดภัยที่ช่วยแนะนำพื้นฐานความต้องการในช่วงการค้นพบและผู้ขายเมฆเลือก ; เพื่อกำหนดรูปแบบความรับผิดชอบร่วมกันในทีม CoE ที่ผสานรวมกับผู้จำหน่ายระบบคลาวด์ การตั้งค่าguardrails ภายในโครงสร้างพื้นฐานด้านไอทีของตัวเอง; และเพื่อจัดการกระบวนการ DevSecOpsโดยผสมผสานความสามารถและเทคโนโลยีเข้าด้วยกัน
การค้นพบและการเลือกผู้จำหน่ายระบบคลาวด์
การทำสัญญาล่วงหน้า ผู้ขายระบบคลาวด์หลายรายคาดหวังพื้นฐานขั้นต่ำของการวิเคราะห์และการกำหนดค่าความปลอดภัยที่ลูกค้าจัดการ สิ่งเหล่านี้แตกต่างกันไปสำหรับผู้จำหน่ายคลาวด์แต่ละราย ทีมคลาวด์สามารถได้รับประโยชน์จากมุมมองของเพื่อนร่วมงานในโลกไซเบอร์เพื่อจัดการกับประเด็นเหล่านี้ได้ดีขึ้นในระหว่างการทำสัญญา หลังการทำสัญญาและระหว่าง การนำไปใช้งาน วิธีการร่วมกันของทีมคลาวด์และไซเบอร์สามารถเร่งความสามารถของทีมในการทำความเข้าใจ ประเมิน และกำหนดค่าสภาพแวดล้อมคลาวด์ใหม่ นอกจากนี้ยังสามารถวางตำแหน่งและเตรียม CIO/CISO ให้ดีขึ้นเพื่อดำเนินการประเมินความเสี่ยงด้านการวิเคราะห์ผู้จำหน่ายระบบคลาวด์ของบุคคลที่สามที่จำเป็นเกี่ยวกับความยั่งยืนของการดำเนินธุรกิจ กิจกรรมนี้สามารถเขียนลงในสัญญาเป็นกิจกรรมประจำปีต่อเนื่องเพื่อความต่อเนื่องทางธุรกิจเพื่อหลีกเลี่ยงสถานการณ์
นอกจากนี้ ในภูมิทัศน์ของภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา ผู้จำหน่ายระบบคลาวด์สามารถมีข้อมูลเชิงลึกเกี่ยวกับการพัฒนาผลิตภัณฑ์ความปลอดภัยบนระบบคลาวด์ใหม่ๆ และข้อควรพิจารณาในการใช้งานและนวัตกรรมเพื่อคำนึงถึงรูปแบบการดำเนินงาน ในปี 2563 เช่น
กองทัพอากาศสหรัฐฯ ได้สร้างจุดเชื่อมต่อระบบคลาวด์แห่งแรกที่ได้รับการรับรอง ทำให้องค์กรสามารถเชื่อมต่อกับระบบคลาวด์ได้โดยตรงโดยไม่ต้องใช้จุดเชื่อมต่อที่ใช้ร่วมกัน
Hyperscaler หนึ่งตัวแนะนำการประมวลผลที่เป็นความลับ ซึ่งช่วยให้องค์กรสามารถเก็บข้อมูลที่เข้ารหัสไว้ในหน่วยความจำได้
องค์กรใช้ “กระบวนการทางธุรกิจเป็นบริการ” เพื่อขัดข้อมูลที่เป็นความลับหรือข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้
นอกจากนี้ การรับรู้ถึงข้อกำหนดการรายงานการปฏิบัติตามข้อกำหนดที่ดีขึ้นเมื่อเจรจาสัญญาผู้ให้บริการระบบคลาวด์ สามารถช่วยในการพิจารณาว่าข้อมูลจะถูกแบ่งปันตามความถี่ที่จำเป็นสำหรับการรายงาน ด้วยเหตุนี้ องค์กรภาครัฐจึงต้องการรายงานข้อมูลการแพตช์เพื่อแสดงการปฏิบัติตามอย่างต่อเนื่อง แต่การรายงานข้อมูลที่ความถี่ที่จำเป็นไม่ได้เป็นส่วนหนึ่งของข้อตกลงระดับบริการคลาวด์ (SLA) เพื่อแก้ไขปัญหา จึงสามารถดึงข้อมูลซอร์สโค้ดและรวมเข้ากับกระบวนการรายงานด้วยตนเอง อย่างไรก็ตาม นี่อาจเป็นกระบวนการที่ราบรื่นกว่าหากได้รับการแก้ไขในขณะที่ทำสัญญา เพื่อหลีกเลี่ยงความท้าทายเช่นนี้ ให้ประเมินความต้องการการรายงานเหล่านี้และปรับ SLA หรือกำหนดโซลูชันการรายงานทางเลือก
แบบจำลองความรับผิดชอบร่วมกัน
จากการศึกษาในอุตสาหกรรมหนึ่งพบว่า 66% ของผู้บริหารที่สำรวจรายงานโดยใช้ผู้ให้บริการระบบคลาวด์สำหรับการรักษาความปลอดภัยพื้นฐาน 73% เชื่อว่าผู้ให้บริการคลาวด์สาธารณะมีหน้าที่หลักในการรักษาความปลอดภัยโซลูชัน SaaS และ 42% เชื่อว่าพวกเขามีหน้าที่รับผิดชอบในการรักษาความปลอดภัยโซลูชันโครงสร้างพื้นฐานเป็นบริการ (IaaS) ถึงกระนั้น แม้ว่าองค์กรอาจพึ่งพาผู้ให้บริการระบบคลาวด์สำหรับศูนย์ข้อมูลและโครงสร้างพื้นฐานที่ปลอดภัย แต่โมเดลความรับผิดชอบร่วมกันทำให้องค์กรได้รับเพียงองค์กรเท่านั้น ยังคงเป็นความรับผิดชอบขององค์กรในการรักษาความปลอดภัยข้อมูลและแอปพลิเคชันในระบบคลาวด์ ทีมไซเบอร์บนคลาวด์แบบบูรณาการช่วยให้สามารถแบ่งเขตได้ชัดเจนยิ่งขึ้นว่าความรับผิดชอบขององค์กรสิ้นสุดลงที่ใด และผู้จำหน่ายคลาวด์เริ่มต้นขึ้น (และในทางกลับกัน) และคำแนะนำเกี่ยวกับวิธีการตรวจสอบอย่างต่อเนื่อง
ต่างจากสภาพแวดล้อมภายในองค์กร เนื่องจากระบบคลาวด์มีการเช่าโครงสร้างพื้นฐานทางกายภาพ และรูปแบบการดำเนินงานที่ใช้ร่วมกันอาจแตกต่างกันไปตามปัจจัยที่เอื้ออำนวยหลายประการ ตัวอย่างเช่น 40% ของรัฐในสหรัฐฯ ดำเนินการในรูปแบบสหพันธรัฐซึ่ง CISO ดูแลนโยบายองค์กรและหน่วยงานเป็นผู้นำบริการที่ใช้ร่วมกัน 10% ของรัฐในสหรัฐอเมริกามีรูปแบบการกระจายอำนาจซึ่ง CIO ให้คำแนะนำแก่หน่วยงานของรัฐแต่ละแห่งเกี่ยวกับนโยบาย ดังกล่าวได้รับกรณีในนิวยอร์กซิตี้ Cyber Command ริเริ่มโครงการที่รอง CISO และหัวหน้าหน่วยงานของการจัดการภัยคุกคามที่นำเทคโนโลยีคลาวด์เพื่อความปลอดภัยของข้อมูลการเข้าถึงจากอุปกรณ์เชื่อมต่อเครือข่ายของรัฐบาลในเมือง
[NPC5]รั้วกั้นภายในโครงสร้างพื้นฐานด้านไอที
ด้วยการรักษาความปลอดภัยที่เป็นศูนย์กลางในการเลือกผู้ขายและการสร้างแบบจำลองความรับผิดชอบ ตอนนี้ทีมรักษาความปลอดภัยมีจุดได้เปรียบที่แข็งแกร่งในการฝังการรักษาความปลอดภัยลงในกระบวนการย้ายระบบคลาวด์โดยการตั้งค่าฐานรั้วและการกำหนดค่าขั้นต่ำเพื่อป้องกันการปรับใช้ก่อนกิจกรรมการย้ายข้อมูลจะเริ่มต้นขึ้น ตัวอย่างเช่น การป้องกันปริมาณงานและโซนเชื่อมโยงไปถึงที่ปลอดภัยสามารถสร้างเทมเพลตการกำหนดค่ามาตรฐานที่ปรับขนาดได้และยั่งยืนสำหรับการปรับใช้แอปพลิเคชันในอนาคตอย่างรวดเร็วโดยไม่จำเป็นต้องปรับรื้อปรับระบบใหม่ เนื่องจากระเบียบวิธีระบบคลาวด์มีไว้สำหรับ Agile และ DevOps องค์กรที่ไม่มี DevOps ที่ปลอดภัยอาจต้องรับความเสี่ยงจำนวนมาก และอาจเป็นองค์ประกอบเพิ่มเติมในการจัดการการพัฒนาระหว่างกระบวนการโยกย้าย