Utvid risikogrensene til skyen

Cloud computing er et nebulous konsept, og trosser forsøkene fra mange til og med å definere det. Bruk det imidlertid vi må. Forretningsverdien forbedres av den, og konkurransefortrinn går ofte tapt ved å ignorere den. Så vi må forstå hvordan vi trygt kan integrere denne nye teknologien i forretningsprosessene våre.

Definere skyen

For å gjøre det klarere definerer jeg nettsky som alle infrastrukturer eller tjenester levert av og fra et tredjeparts sted som støtter eller leverer forretningsprosesser. For å maksimere forretningsverdien, bør det også gi skalerbarhet på forespørsel og forbedrede forretnings kontinuitetsprosesser. Eksempler inkluderer:

  • Leverandør har utviklet og vert for webtjenester, integrert i systemer som er utviklet internt, men som er tilgjengelig over hele nettet
  • Leverandør har administrert servere som er vert for applikasjoner utviklet og administrert av internt personale
  • Flytte komplette systemer (dvs. lønn, regnskap) til en leverandør som er vert for nettstedet

Når skyen modnes, endres tjenestene og de vokser. Imidlertid er den grunnleggende forutsetningen at det gir fleksibilitet til store organisasjoner og muligheter til SMB som ellers kan bryte budsjettet.

Det handler om risiko

Fra mitt perspektiv som sikkerhetsfaglig er vurdering og styring av risiko knyttet til skytjenester ganske enkelt en justering til mine eksisterende risikostyringsprosesser. OK, så svaret er enkelt; faktisk implementering tar litt arbeid.

Hvis du ikke har et rammeverk for risikostyring, er det å lage et første trinn. Å beskytte organisasjonens data handler om å balansere risiko med forretningsbehov. Formelle prosesser designet for å identifisere, avbøte og rapportere risiko er nødvendige når du arbeider med bedriftsledere - og revisorer - for å oppnå riktig balanse. Hvis du har et dokumentert rammeverk, må du bare utvide det.

Figur 1 er en enkel modell av risikogrensen til mange organisasjoner. Sikkerhetsanalytikere utfører risikovurderinger når IT designer og implementerer interne løsninger. Imidlertid stopper den styrte risikogrensen ved omkretsbrannmuren. Ingen formelle prosesser eksisterer for å modellere trusler som er opprettet ved å koble til leverandører av skytjenester. Figur 1: Intern risikogrens Veien til sikker skyintegrasjon er utvidelse av risikogrensen, som vist i figur 2 . Målet er ikke å se skyen som noe "der ute." Snarere er det bare en verdiøkende komponent knyttet til bedriften. Å utvide risikostyringsgrensen for å omfatte alle tjenester resulterer i en overordnet plan for å muliggjøre virksomheten. Figur 2: Utvidet risikobegrensning

Gapet

Å utvide risikogrensen handler ikke bare om å stille de samme spørsmålene. Å integrere skyen krever ytterligere hensyn som er unike for å håndtere leverandørleverandører. Følgende er en liste over utfordringer jeg vurderer når jeg evaluerer en leverandør av skytjenester:

  • Har en ekstern enhet sertifisert leverandøren som en organisasjon som effektivt administrerer sikkerhet (SAS 70, ISO 27001, etc.)? Hvilke interne kontroller finnes? Hvordan sammenligner de med de interne kontrollene mine? Hva er hullene, og er hullene rimelige?
  • Hvilke data er involvert? Leverer organisasjonen min mer data enn det som er absolutt nødvendig? Hva er minimum dataelementene som kreves av leverandøren, og hvorfor?
  • Forstår leverandøren mine sikkerhetsforventninger? Er disse forventningene inkludert i kontrakten? Hvilke sanksjoner identifiseres hvis leverandøren ikke overholder sikkerhetsformuleringen i kontrakten? Tillater kontrakten meg å utføre min egen periodiske revisjon av hvor godt dataene mine er beskyttet?

Denne listen stiller de grunnleggende spørsmålene. Jeg antar at du allerede beskytter dataene dine i transitt og har robuste og fleksible tilgangskontroller. Hvis ikke, har du kanskje større problemer å løse før du ser på å utvide til skyen.

Det siste ordet

Ikke løp fra skyen. Det er ikke fienden din, og du vil bli assimilert. Spørsmålet er ikke om du vil integrere skytjenester. Snarere er det hvor godt du vil håndtere den tilhørende risikoen. Er hver leverandør en god kandidat? Absolutt ikke. Men å velge en skyleverandør ligner på å velge hvilken som helst leverandør av intern programvare, maskinvare eller tjenester. Forstå dine behov, kommuniser forventningene dine og vurder leverandørens etterlevelse. Rapporter funnene dine til ledelsen og samarbeid om nødvendig med leverandøren for å forbedre kontrollene.

© Copyright 2021 | pepebotifarra.com