Ki most felelős a felhő biztonságáért?

A felhőalapú szolgáltatások használata sok esetben szerzi az irányítási támogatást. Az IT-osztályokon azonban hiányzik ez a lenyűgöző hozzáállás. A Lumension által szponzorált Ponemon 2014. évi jelentése a végpont kockázatáról azt sugallja, hogy a felhőalapú számítástechnika - akár vállalkozás által támogatott, akár alkalmazott által vezérelt - számítástechnika használatának fokozódott az érzékenység a felmérésben résztvevők körében - 19 001 informatikai szakember az Egyesült Államokban. Az alább látható dia azt mutatja, hogy a válaszadók 44 százaléka (16% -os növekedés 2012-től 2013-ig) a felhőalapú számítástechnikai erőforrások használatát jelentette fő problémának. Az informatikai személyzet számos aggodalomra hivatkozott a számítási felhővel kapcsolatban.

Forrás: A végpont állapotának 2014. évi állapotjelentése

Ki felel az adatokért a felhőben?

A Ponemon-jelentés nagyban tükrözi azt, amit a biztonsági ügyfelek mondtak az elmúlt években. Kíváncsi vagyok, ki a felelős? Ki a hibás, ha valami történik a vállalati adatokkal, amikor a felhőben van? Várhatunk mindenféle említést erről, de nincs. Két vagy három évvel ezelőtt kezdték el a felelősségvállalásról folytatott apró viták. Ugyanakkor a „vevő vigyázzon” volt az egyetlen valódi következtetés.

Az informatikai alkalmazottak aggodalmának növekedése esetén jó ötlet lehet megnézni, hogy megváltozott-e valami a felelős osztályon. Még 2012-ben interjút készítettem több C-szintű vezetővel. Az interjúk során megkérdeztem, ki szerintük felelősek a felhőalapú társaságok adatainak biztonságáért. Minden végrehajtó úgy gondolta, hogy az adatbiztonság már nem az ő gondja, miután az adatok valaki más szerverein voltak.

A Businessweek 2012. évi cikke Ki felelős az adatok védelmében a felhőben? írta: Sarah Frier megerősítette a tudományos kutatásomat. Frier a cikkben idézte a Verizon Communication Mario Santana verzióját, aki azt mondta: "Egyes vállalkozások tévesen feltételezik, hogy ha egyszer úgy döntnek, hogy adatokat tárolnak külső szerverekön, akkor nem kell többé foglalkozniuk az információk védelmével."

A Ponemon és a Businessweek eredményei alapján nyilvánvalóvá vált a C-szintű vezetők és az IT-osztályok közötti szakadék 2012-ben. Két év elteltével előrehaladva megváltozott az, amit az üzleti vezetők és az informatikusok mondnak a biztonságról, és ki felelős a felhőalapú szolgáltató számára bízott vállalati adatokért.

Mi különbözik 2014-ben?

2014 áprilisában a Ponemon Intézet kiadta harmadik, a Thales e-Security által támogatott Trends in Cloud Encryption Study-t. A Ponemon felmérése 4275 üzleti és informatikai vezetőt kérdezett az Egyesült Államokban, az Egyesült Királyságban, Németországban, Franciaországban, Ausztráliában, Japánban, Brazíliában és Oroszországban. A felmérés fő célja annak vizsgálata volt, hogy a szervezetek miként védik adataikat, amikor azokat felhőszolgáltatóknak adják.

A Ponemon kutatói két kérdést tettek fel a résztvevők számára, amelyek fontosak a beszélgetés szempontjából:

• A szervezetek hány százaléka továbbítja az érzékeny vagy bizalmas adatokat a külső felhőalapú szolgáltatásokhoz?
• Ki a felelős a felhőalapú szolgáltatónak továbbított érzékeny vagy bizalmas adatok védelméért?

Először nézzük meg, hogy a szervezetek hány százaléka küld érzékeny és bizalmas adatokat a felhő szolgáltatóinak. Az alábbi dia azt mutatja, hogy a 2013-as felmérési évben a megkérdezettek 53% -a továbbította az érzékeny adatokat a felhőbe, 36% -uk ezt két éven belül, 11% -uk pedig nem használt felhő-szolgáltatókat. Érdekes, hogy az elmúlt három év eredményei hasonlóak maradtak.

Forrás: A felhő titkosításának trendjei

Következésképpen, a 2013-as felmérési évre, ki volt a felelős a felhőalapú szolgáltatóhoz továbbított érzékeny vagy bizalmas adatok védelméért? Attól függ. A felmérés résztvevői szerint a felelősség a nyújtott felhőalapú szolgáltatás típusától függ - SaaS vagy IaaS / PaaS. Az alábbi dia a válaszadók véleményét mutatja be arról, hogy ki volt a felelős, amikor egy vállalat SaaS-környezetet használt. 2013-ban 54% -uk úgy gondolta, hogy a felhő-szolgáltató felelős a biztonságért, 24% -uk pedig a felhőszolgáltatások felhasználói felelősségének, míg 19% -uk úgy érezte, hogy meg kell osztani a felelősséget. (További információ az IaaS és a PaaS közötti választásról: Tudnivalók.)

Forrás: A felhő titkosításának trendjei

A következő dia a válaszadó véleményét ábrázolja arról, hogy ki volt felelős, ha egy vállalat IaaS / PaaS környezetet használ. 2013-ban 47% -uk a biztonságot megosztott felelősségnek, 26% -uk a felhőszolgáltatások felhasználói felelősségének, 22% -uk úgy gondolta, hogy ez a felhő-szolgáltató felelőssége.

Forrás: A felhő titkosításának trendjei

Alsó vonal? A dolgok megváltoztak. Úgy tűnik, hogy a „vásárló vigyázzon” hozzáállása már a felhőalapú szolgáltatásokkal együtt érett. De amint egy internetes hozzáértő ügyvéd elmondta nekem, a felelősséget a szerződések határozzák meg, semmi több, vagy semmi kevésbé. Ezt a felhőszolgáltatásokban részt vevők számára mindenképpen szem előtt kell tartani.