7 стратегий снижения риска для облака
Риски, связанные с облачными сервисами со временем станут более критическими. Вот как управлять этими рисками, не упуская преимуществ облака.
Облачные сервисы еще долго не уйдут из нашей жизни, и они принимают на себя все больше корпоративных функций каждый год. Если в первое время облачные сервисы были ограничены простым хранением или управлением контактами, то сейчас основные функции, такие как ERP, теперь переместились в облако. И с широким спектром важнейших услуг, которые все больше переходят на облако, ИТ-руководители должны следить за рисками, присущими сегодняшней облачной среде, и предпринимать профилактические меры для их смягчения.
Посмотрите, что ваша организация должна сделать, чтобы оценить и смягчить риски облачных вычислений.
Оцените свою готовность к риску в облаке
В банковской отрасли принято устанавливать предельно допустимый уровень риска для руководства организационными решениями. Например, консервативный уровень готовности к риску приведет к снижению прибыльных, но очень неопределенных кредитов. Более “передовой” уровень готовности к риску может привести к более высокой отдаче во время подъемов. Обратная сторона? В течение следующего кризиса ваш банк может попасть под удар.
С точки зрения управления ИТ, ваш уровень готовности к риску будет информировать вас о вашей должной осмотрительности, постоянном мониторинге и готовности инвестировать в снижение риска. Например, вы можете создать многоуровневый подход к смягчению рисков, чтобы наилучшим образом использовать ваши ограниченные ресурсы. Риск «Уровня 1» облачного обслуживания может быть уменьшен за счет укомплектования персоналом (например, наличия специального менеджера отношений), регулярного тестирования и оплаты поддержки поставщиков верхнего уровня.
Пересмотрите облачную культуру использования
Облачные поставщики любят подчеркивать простоту использования и гибкость. И как только организации ощущают легкость облака, у некоторых возникает желание вернуться к сохранению собственной инфраструктуры наследия. Но такое отношение к облачным сервисам может привести к тому, что сотрудники будут принимать безрассудные рискованные решения.
«Облачные службы часто подстрекают к нецелевому использованию данных; Я могу собирать, искать и хранить что угодно, где угодно », - говорит Джон Ходжес, вице-президент по стратегии продуктов для AvePoint. «Мы часто видим это в таких системах, как Box, DropBox или OneDrive, где существует реальная опасность смешанного использования в том, как содержимое хранится и делится». Простое решение? Запретить сервисы со смешанным использованием, вероятно, будет проблемой.
Запрет на высокорискованные облачные сервисы помогает, но не полностью устраняет проблему. «С корпоративными учетными записями, такими как Slack channels или Microsoft Teams или другими системами, пользователи всегда используют способ, который наиболее удобен для обмена данными. Это поведение может не совпадать с политиками хранения документов или ограничениями при совместном использовании данных », - объясняет Ходжес. Непоследовательное применение политики хранения записей может вызвать головную боль, если ваша компания подверглась судебному разбирательству или аналогичному расследованию.
Используйте модели нулевого доверия для снижения риска
«Нулевое доверие» - это стратегия безопасности ИТ, в которой организация требует, чтобы каждый пользователь, система или устройство внутри или вне его периметра проверялись и верифицировались до подключения к его системам. Как использовать модель нулевого доверия для снижения облачного риска? Для Insurity, организации, которая специализируется на услугах по страхованию имущества и несчастных случаев и программного обеспечения, подход с нулевым доверием означает строгое ограничение доступа.
«Мы предоставляем логический доступ к минимальному набору пользователей с минимальным набором прав и привилегий в соответствии с требованиями функции работы. Этот контроль проверяется внутренне нашей командой Enterprise Security и внешне в рамках нашего ежегодного аудита SOC », - говорит Джонатан Виктор, ИТ-директор Insurity.
Регулярно проверяйте уровни доступа пользователей и спрашивайте себя, нужны ли они. Вам нужны десятки пользователей с административным доступом? Каждый новый пользователь добавляет дополнительный риск.
Следите за неудачами ИТ в новостях
Выделите время на изучение новостей о неудачах, связанных с работой с облаком, и это поможет вам снизить риск использования облака. Сложный и развивающийся характер использования облака на современном предприятии означает, что всегда можно чему-то научиться от громких инцидентов, где что-то пошло не так.
«Мы сосредоточены на потере данных, поэтому мы видим важные уроки в таких инцидентах, как потеря данных Meraki в августе 2017 года, когда локальные системы не смогли создать резервную копию данных для облачного сервиса, как это было сделано для этого», - говорит Рич Петерсен, соучредитель и президент JetЅtream Software.
Cisco признала, что ошибка конфигурации облачных вычислений привела к потере данных и снижению производительности. Как сообщает The Register, «этот инцидент является огромным беспорядком для Cisco, потому что Meraki убеждена в том, что его поддерживающий облачный сервис удаляет большую часть работы, требующейся для работы сетей и голосовых систем. Эта команда Meraki совершила такую серьезную ошибку - и, казалось бы, отсутствовали инструменты защиты данных, чтобы покрыть такую вероятность - это очень большая черная метка на их репутации ».
Переосмыслите свою комбинацию стратегий ручного и автоматизированного управления облачными вычислениями
Автоматизация, виртуальные помощники и обработка данных могут помочь компаниям не только продавать больше продуктов, но и управлять облачными сервисами. Для Barracuda Networks масштабы ручной работы по обеспечению безопасности значительно снизились с тех пор, как он начал автоматизировать процессы для облака.
«Мы отказались от выполнения ручных проверок безопасности и перешли к автоматическому сканированию, поскольку для увеличения и непрерывной защиты требуется бдительность в режиме 24x7x365 для обеспечения целостности системы, защиты данных и требований контроля соответствия», - говорит Грег Арнетт, директор стратегии платформы защиты данных в Barracuda Networks.
Тем не менее, стремление к автоматизации имеет значительные ограничения, когда дело касается смягчения облачных рисков. В конце концов, вы не можете автоматизировать оценку риска облачного провайдера. Но если вы используете больше автоматизированных инструментов для обнаружения проблем и стандартизации конфигурации в облаке, вы можете сосредоточить больше времени на работе с такими сложными вопросами, как обучение и управление вашими отношениями с облачными провайдерами.
Надавите на права аудита у наиболее уязвимых поставщиков
Независимо от того, имеете ли вы право на аудит ваших облачных поставщиков, это злободневная тема. Если ваши контракты и соглашения не имеют этого положения, ваши руки могут быть связаны, если произошел инцидент. С другой стороны, крупные поставщики облаков высказывают несогласие с этими требованиями.
«Что касается аудитов, многие облачные компании возражают организациям и не позволяют им проверять права на аудит своих центров обработки данных и их процессов, процедур и мер безопасности», - говорит Тед Роджерс, руководитель консультационной практики по исполнению проектов в UpperEdge. "Почему? Они не решаются привлекать третью сторону и проводить аудит. Вместо этого, продавец говорит, что они законопослушны, или они говорят, что не беспокоятся об этом, потому что, если они этого не сделают, у них будут проблемы по другим причинам по контракту, такие как событие нарушения».
Одним из решений является критическая оценка методологии аудита, разработанной поставщиком облачных вычислений. Роджерс предлагает следующую альтернативу: «Получите доступ к документации аудитора облачного провайдера. В частности, ищите, сделали ли они обновления в свете трудностей Facebook с конфиденциальностью данных. Некоторые из этих облачных провайдеров говорят, что они всего лишь процессор данных. Они утверждают, что они не касаются данных и не передают их ». Напрашивается вопрос: как узнать, следит ли поставщик за своим словом?
Если облачный провайдер сопротивляется предоставлению прав на аудит вашей компании, все еще есть способы смягчить этот риск. Вы можете запросить более надежные отчеты и подчеркнуть основные индикаторы риска. Вы также можете обратиться в отдел внутреннего аудита с просьбой предоставить информацию во время обсуждения контракта.
Избежание переосмысления как стратегия снижения риска
Наконец, взлом и безопасность не являются единственными рисками для рассмотрения. Существует также риск остаться позади.
«Значительный бизнес-риск для некоторых из наших менее зрелых клиентов заключен в том, что они не преследуют облачную трансформацию и услуги достаточно агрессивно. Облако - это не просто новая технология - она изменила бизнес и парадигму работы для многих отраслей. Речь идет о преобразовании бизнеса, чтобы стать более гибким и конкурентоспособным », - говорит Тони Буоманте (Tony Buffomante), американский лидер службы кибербезопасности KPMG.
Более того, немногие организации имеют бюджет или склонность создавать центры обработки данных и разрабатывать все свое программное обеспечение и инфраструктуру в помещениях. Фактически, компании с меньшими ИТ-возможностями могут воспользоваться возможностями управления рисками крупных поставщиков облачных вычислений.
«По нашему опыту, способность крупномасштабных провайдеров облачных вычислений, таких как Amazon, Microsoft и Google, обеспечивать безопасные ИТ-среды, делает невозможным создание локальных или пользовательских конфигураций центров обработки данных. Мы твердо убеждены в том, что отказ от облака будет представлять значительный риск для нашего бизнеса », - говорит Кейт Черни (Keith Cerny), главный технический директор ACL. «Наш непосредственный опыт заключался в том, что хорошо зарекомендовавшая себя облачная среда отвечает нашим требованиям безопасности, конфиденциальности и доступности на уровне, которого мы не смогли бы достичь никакими другими способами. В 2016 году, когда мы переместили нашу штаб-квартиру в новое место, мы осознали большую выгоду от отсутствия простоя бизнеса. Наши сотрудники смогли удаленно работать с использованием облачных сервисов, что делает такой переход плавным».