Sistemele informatice bazate pe sisteme informatice îndeplinesc funcții importante în aproape toate industriile moderne. Companiile, organizațiile non-profit, guvernele și chiar instituțiile de învățământ utilizează norul pentru a extinde acoperirea pieței, a analiza performanța, a gestiona resursele umane și a oferi servicii îmbunătățite. Bineînțeles, guvernarea eficientă a securității în cloud este esențială pentru orice entitate care dorește să profite de beneficiile IT distribuite.
Ca orice domeniu IT, cloud computing are probleme de securitate unice. Deși însăși ideea de a păstra datele în siguranță în nor a fost considerată mult timp o contradicție imposibilă, practicile industriale răspândite dezvăluie numeroase tehnici care asigură o securitate cloud eficientă. Dat fiind faptul că furnizorii de cloud-uri comerciale, cum ar fi Amazon AWS, au demonstrat prin menținerea conformității cu FedRAMP, securitatea cloud eficientă este atât de realizabilă, cât și de practică în lumea reală.
$config[code] not foundElaborarea unei foi de parcurs privind securitatea
Niciun proiect de securitate IT nu poate funcționa fără un plan solid. Practicile care implică cloud-ul trebuie să difere în funcție de domeniile și implementările pe care încearcă să le protejeze.
De exemplu, să presupunem că o agenție guvernamentală locală instituie o aducă propriul dispozitiv sau politica BYOD. Poate fi necesar să se adopte diferite controale de supraveghere decât ar fi fost cazul în cazul în care acesta ar fi împiedicat pur și simplu angajații săi să acceseze rețeaua organizațională utilizând propriile smartphone-uri, laptop-uri și tablete personale. De asemenea, o companie care dorește să facă datele mai accesibile utilizatorilor autorizați, stocându-l în cloud, va trebui probabil să ia pași diferiți pentru a monitoriza accesul decât ar fi dacă ar întreține propriile baze de date și servere fizice.
Acest lucru nu înseamnă, așa cum au sugerat unii, că păstrarea cloud-ului în siguranță este mai puțin probabilă decât menținerea securității pe o rețea privată. Experiența a arătat că eficacitatea diferitelor măsuri de securitate a cloud depinde de cât de bine respectă anumite metodologii dovedite. Pentru produsele și serviciile cloud care utilizează date și active guvernamentale, aceste cele mai bune practici sunt definite ca parte a Programului federal de gestionare a riscurilor și autorizațiilor sau a FedRAMP.
Care este programul Federal de gestionare a riscurilor și autorizațiilor?
Programul federal de gestionare a riscurilor și autorizației este un proces oficial pe care agențiile federale îl folosesc pentru a judeca eficacitatea serviciilor și a produselor de tip cloud computing. În inima sa se află standardele definite de Institutul Național pentru Standarde și Tehnologie sau NIST, în diferite publicații speciale sau în documentele SP și Federal Information Processing Standard sau FIPS. Aceste standarde se concentrează pe o protecție eficientă bazată pe nor.
Programul oferă linii directoare pentru multe sarcini comune de securitate în cloud. Acestea includ incidentele de manevrare adecvată, folosind tehnicile medico-legale pentru investigarea încălcărilor, planificarea contingenților pentru a menține disponibilitatea resurselor și gestionarea riscurilor. Programul include, de asemenea, protocoale de acreditare pentru organizațiile de acreditare terță parte sau 3PAO, care evaluează implementările cloud de la caz la caz. Menținerea conformității cu certificatul 3PAO este un semn sigur că un integrator IT sau un furnizor este pregătit să păstreze informațiile în siguranță în nor.
Practici eficiente de securitate
Deci cum se păstrează companiile datele în siguranță cu furnizorii de cloud-uri comerciale? Deși există nenumărate tehnici importante, câteva sunt demne de menționat aici:
Verificarea furnizorului
Relațiile de lucru puternice se bazează pe încredere, dar că bună-credința trebuie să provină undeva. Indiferent cât de bine este stabilit un furnizor de cloud, este important ca utilizatorii să își autentifice practicile de conformitate și de guvernanță.
Standardele guvernamentale de securitate IT includ, de obicei, strategii de audit și de notare. Verificarea performanței anterioare a furnizorului dvs. de cloud este o modalitate bună de a afla dacă sunt vrednici de afacerea viitoare. Persoanele care dețin adrese de e-mail.gov și.mil pot accesa, de asemenea, pachetele de securitate FedRAMP asociate cu diferiți furnizori pentru a-și corobora declarațiile de conformitate.
Să presupunem un rol proactiv
Deși serviciile cum ar fi Amazon AWS și Microsoft Azure mărturisesc aderarea lor la standardele stabilite, securitatea cloud comprehensivă necesită mai mult de o singură parte. În funcție de pachetul de servicii pentru cloud pe care îl achiziționați, va trebui să direcționați implementarea de către furnizor a anumitor caracteristici cheie sau să îi sfătuiți că trebuie să respecte procedurile specifice de securitate.
De exemplu, dacă sunteți un producător de dispozitive medicale, legi precum Legea privind portabilitatea și responsabilitatea în materie de asigurări de sănătate sau HIPAA pot mandata să luați măsuri suplimentare pentru a proteja datele privind sănătatea consumatorilor. Aceste cerințe există adesea independent de ceea ce trebuie să facă furnizorul dvs. pentru a-și păstra certificarea federală a programului de gestionare a riscurilor și autorizațiilor.
La un nivel minim, vei fi singurul responsabil pentru menținerea practicilor de securitate care acoperă interacțiunea organizațională cu sistemele de tip cloud. De exemplu, trebuie să instituiți politici de parolă sigure pentru personalul și clienții dvs. Scăderea mingii de la capăt poate compromite chiar și cea mai eficientă implementare a securității norului, deci își asumă responsabilitatea acum.
Ce faceți cu serviciile dvs. de cloud influențează în cele din urmă eficacitatea funcțiilor lor de securitate. Angajații dvs. se pot angaja în practici IT umbroase, cum ar fi partajarea documentelor prin Skype sau Gmail, din motive de conveniență, însă aceste acte aparent inofensive ar putea împiedica planurile dvs. de protecție a cloud-ului. În plus față de personalul de instruire cum să utilizați serviciile autorizate în mod corespunzător, trebuie să le învățați cum să evitați capcanele care implică fluxuri neoficiale de date.
Înțelegeți termenii serviciului dvs. Cloud pentru a controla riscurile
Găzduirea datelor dvs. în cloud nu vă acordă neapărat aceleași indemnizații pe care le-ați avea în mod inerent cu stocarea de sine. Unii furnizori își păstrează dreptul de a trage conținutul dvs. în așa fel încât să poată difuza anunțuri sau să analizeze utilizarea de către dvs. a produselor sale. Este posibil ca alții să aibă acces la informațiile dvs. în cursul furnizării asistenței tehnice.
În unele cazuri, expunerea datelor nu reprezintă o problemă enormă. Cu toate acestea, atunci când aveți de-a face cu informații despre consumatori sau cu date de plată care pot fi identificate personal, este ușor să vedeți modul în care accesul terților ar putea provoca dezastru.
Este imposibil să se prevină în totalitate accesul la un sistem sau o bază de date la distanță. Cu toate acestea, colaborarea cu furnizorii care eliberează înregistrările de audit și jurnalele de acces la sistem vă face să știți dacă datele dvs. sunt menținute în siguranță. O astfel de cunoaștere merge mult spre a ajuta entitățile să atenueze impactul negativ al oricăror încălcări care apar.
Nu presupuneți niciodată că securitatea este o afacere unică
Cei mai inteligenți își schimbă parolele personale în mod regulat. Nu ar trebui să fii la fel de diligent în privința securității informatice bazate pe cloud?
Indiferent de cât de des strategia de conformitate a furnizorului dvs. dictă că efectuează autoevaluări, trebuie să definiți sau să adoptați propriul set de standarde pentru evaluările de rutină. Dacă sunteți, de asemenea, obligați prin cerințele de conformitate, vă recomandăm să adoptați un regim strict care să vă asigure că vă puteți îndeplini obligațiile, chiar dacă furnizorul dvs. de cloud nu reușește să facă acest lucru în mod consecvent.
Crearea de implementări de securitate în cloud care funcționează
Securitatea cloud-ului eficient nu este un oraș mistic care se află întotdeauna dincolo de orizont. Ca un proces bine stabilit, este bine la îndemâna majorității utilizatorilor și furnizorilor de servicii IT, indiferent de standardele la care se conformează.
Prin adaptarea practicilor descrise în acest articol în scopurile dvs., este posibil să se atingă și să se mențină standardele de securitate care să păstreze datele dvs. în siguranță fără a majora drastic cheltuielile operaționale.
Imagine: SpinSys
1 Comentariu ▼
