如何降低互联智能企业中的风险

简介: 在互连的环境中,配置错误的系统或安全漏洞可能会使企业面临风险,并且IT、网络安全、开发和审计团队越来越难以了解哪些应用程序和服务支持关键业务流程,它们是如何相互连接,以及更改如何影响合规性、安全性、可用性。随着远程工作成为现实,现在是提出三个关键问题的时候了,以确保企业都了解潜在风险以及如何降低风险。

在冠状病毒疫情蔓延期间,云迁移和SaaS的采用激增。实际上,根据最近发布的一项调查报告,疫情使40%的企业加快了向云平台的迁移。很多企业依靠这些平台和工具的灵活性来提高生产力,而无需考虑员工的工作位置。


互连环境


企业还经常将这些应用程序连接到关键业务流程,以传输有价值的客户数据、个人身份信息(PII)、财务和其他敏感信息,以帮助流程顺利运行。但随着越来越多的业务流程从内部部署扩展到云计算平台,企业开始对其互联应用生态系统的风险失去可见性。


问题在于,在互连的环境中,配置错误的系统或安全漏洞可能会使企业面临风险,并且IT、网络安全、开发和审计团队越来越难以了解哪些应用程序和服务支持关键业务流程,它们是如何相互连接,以及更改如何影响合规性、安全性、可用性。


随着远程工作成为现实,现在是提出三个关键问题的时候了,以确保企业都了解潜在风险以及如何降低风险。


错误配置如何造成风险?


实施数字化转型,以及云服务和API消费的稳步增长,使得集成和连接来自不同供应商的两个或多个不同系统变得异常容易。但无论是使用Salesforce还是SAP公司的API,企业都可能面临巨大的风险。


这是因为许多业务应用程序反映了基于底层技术构建的复杂工作流和流程。因此,虽然集成很容易,但企业现在正在使用两个高度可配置的应用程序融合在一起。能力越强,风险就越大。定制这些应用程序可能会引入不同的漏洞,这些漏洞可能会影响集成、身份验证、审核、加密、用户授权等领域。


为了识别这些风险,企业首先需要对底层技术有更深入的了解。第二步是创建一个包括云计算和内部部署资产的资产图,以了解哪些应用程序运行的环境以及正在传输什么数据。


最后,企业需要依赖安全性和合规性合作伙伴来分析每个应用程序及其支持的数据,以更好地了解保护和合规性方面的差距。例如,根据GDPR法规中查看人力资源数据,根据SOX查看财务信息,或者PCI查看信用卡信息,成为提供某种程度控制的驱动因素。


归根结底,这些不一致可能会危及应用程序和数据的完整性,而无论部署如何,仍应由客户负责数据安全,因此,获得配置控制是必不可少的。


如何才能掌握用户权限?


授权和访问控制是企业风险管理和内部控制的基本组成部分。谁有权使用任务和职责分离(SoD)是至关重要的过程,可确保关键职能分散在多名员工或多个部门中,以减轻欺诈和错误的风险。


然而,随着企业将应用程序从内部部署环境转移到云计算环境,以及各部门在IT权限之外购买SaaS应用程序,维护权限的准确视图变得非常困难。此外,恶意攻击在云计算应用中更为普遍,这使得在应用程序中严格控制用户授权至关重要。从内部的角度来看,权限的失效可以使员工或居心不良者能够轻松地从一个应用程序迁移到另一个应用程序。


由于某些过程跨越多个应用程序,因此关联用户的能力对于有效控制授权和SoD至关重要。为了进一步应对这种复杂性,企业安全团队还应该考虑采用可以在应用程序之间提供广泛用户活动视图的技术,能够标记异常行为或在权限未经许可升级时发出警报。


确保持续合规的关键是什么?


Gartner公司预计数据隐私法规将会有重大突破,对于运行内部部署、基于云计算和SaaS应用的企业来说,合规性可能是一个挑战,许多应用程序都受到严格监管,以确保个人身份信息(PII)和财务数据得到保护。


传统上,负责确保法规标准的审核团队都会进行检查以确保合规性。如今,诸如人力资源等不同业务部门经常使用SaaS应用程序(例如SuccessFactors和Workday),由于审计团队难以找到真实的来源,因为每个应用程序通常是相互连接的,因此使人工流程变得更加复杂。这些人工审核在屏幕截图和Excel电子表格之间可能花费大量时间和成本,并且只显示某一“时间点”的检查结果。


自动化是简化这些繁琐任务的关键。良好的解决方案可以智能地分析应用程序之间的连接,以全面了解合规性错误的根源以及如何解决这些错误,并推动组织达到“持续合规性”的水平,从而使他们可以简化整个业务应用程序中最关键的控制以节省成本和时间,同时获取审计师是否遵守各种法规的证据。


SaaS和云计算应用程序已经成为数字化转型的关键因素,使员工无论在哪里工作都能提高工作效率。但是,这些应用程序也会带来严重的合规性和安全风险,如果处理不当,可能会使企业的数据泄露,并且面临巨额罚款。随着企业不断采用SaaS,他们必须了解这些关键问题,以帮助降低风险、增强安全性,并保持持续合规性。

相关文章
|
3天前
|
人工智能 弹性计算 运维
|
1天前
|
缓存 人工智能 安全
GPT-5.6 Terra与GPT-5.5性能实测:成本减半后的跑分对比与快速迁移指南
GPT-5.6 Terra 的定价为每百万 token 输入 2.50/输出 15。GPT-5.5 则是 5/ 30。Terra 的每一项费率,包括 $0.25/M 的缓存读取,都恰好是 GPT-5.5 的一半,因此在任何工作负载组合下,Terra 都固定 便宜 2.0x。以每天 10 万次请求、3K token 提示词计算,大约是 Terra 每天 2,000,GPT−5.5每天 4,000,即每月约 60,000对 120,000。问题在于:OpenAI 没有发布任何针对 Terra 的编码基准。那个著名的 91.9% Terminal-Bench 数字是 Sol 在 Ul
|
24天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
9天前
|
人工智能 缓存 安全
Claude Code 封号真实原因曝光,这次彻底不装了,直接针对国内开发者的账号下手?
Claude Code 封号潮背后:逆向扒出客户端隐写区域标记,Anthropic 政策收紧叠加 DeepSeek 7 月涨价,国产替代更紧迫。
|
18天前
|
存储 人工智能 监控
QoderWork完全指南:从入门到精通,把“AI实习生”变成你的全能工作搭档
阿里云2026年推出的桌面端AI工作助手QoderWork,不止聊天,更可动手干活:本地运行、安全可控,支持文件整理、数据分析、PPT生成、网页开发等;内置专家套件、多Agent协作与自定义Skills,让AI真正成为你身边的“AI实习生”。
|
14天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
502 127
|
8天前
|
人工智能 编解码 物联网
2026 最新Stable Diffusion 本地部署教程 下载安装使用详细图解(含官网安装包)
Stable Diffusion(SD)是2022年发布的开源文生图模型,由Stability AI等联合开发。支持文生图、图生图、局部重绘等,依托VAE降低算力需求,可在消费级显卡运行。本文提供秋葉aaaki制作的Windows整合包(含图形界面与插件),开箱即用,零配置启动。
|
10天前
|
人工智能 安全 程序员
终于,Claude Code 封号的原因被曝光了!竟然针对中国用户,植入隐形代码?!
通俗易懂地揭秘 Claude Code 封号的手段,分享一些自己对 AI 编程困境的思考,Codex、Cursor、DeepSeek、智谱 GLM、甚至是豆包,都有所行动了
508 1
|
18天前
|
人工智能 弹性计算 API
什么是 AlibabaCloud Agent Toolkit
Alibaba Cloud Agent Toolkit 是面向AI Agent的阿里云智能工具套件,集成OpenAPI、Terraform、CLI与文档能力,提供MCP插件、场景化Skills及执行审计机制,助AI准确查API、生成代码、规划架构、校验部署,实现安全、可靠、可追溯的云上智能运维。
449 2