缓解数据安全与自动化之间的紧张关系
自动化与企业中的数据安全相冲突。 为什么?
问题的关键
自动化通过利用机器的力量来提高生产力。 用一名人类信息工作者的价钱就可以在云端购买或租用相当多的服务器。 然而,访问企业数据,特别是以机器的工作速度和数量,违反了为降低上述数据扩散和泄露风险而制定和实施的无数政策。 我最近在构建自动化时遇到了这些冲突的力量。
自动化程序抓取一些包含查看者指标的内部网页并将其插入到一组电子表格中。 接下来,电子表格被移动到网络文件夹,第二个自动化程序检测新文件并将其上传到指定位置,我的同事在该位置记录任何需要注意的活动或趋势。 我们喜欢它。 然后,经过几周的成功运行后,它因安全机密过期而失败。 我们的数据访问治理政策要求某些系统凭证定期过期。 对于安全有好处。 过期的凭证会破坏自动化。 对生产力不利。
定期使安全机密过期显然是最佳做法,但它是否需要破坏现状呢? 自动化为我的团队节省了大量时间,但它只是从一个位置读取数据并重新格式化以便在另一个位置轻松分析。 自动化是否真的需要与我(人类)以相同的权限级别运行? 其中必定存在某种妥协。
妥协
我想到以下两个选项可以作为折衷方案:
选项 A
在到期前五天发出警告,以便在发生任何意外之前有时间进行续订。
选项 B
颁发针对自动化任务且所需权限最少的服务凭证。
将自动化视为另一种类型的用户
这两种选择都尊重组织的数据安全要求,并且通过稍微增加业务和安全运营(SecOps)之间的可见性和沟通,可以实现审慎有效的解决方案。 一些合理的妥协可以缓解数据安全要求和提高生产率的自动化之间的紧张关系,并且大多数时候,双方都不会失败,这意味着企业获胜。
自动化为企业治理引入了一个新的用户,称为机器工人。 它将安全策略和自动化的实施者聚集在一起。 认识到这一新用户并更详细地考虑其实际需求的组织将摆脱零和博弈,建立更安全的数据使用实践,并实现提高生产率的技术带来的业务收益。