Flere virksomheder tager en multicloud-tilgang som en del af deres digitale transformationsbestræbelser for at understøtte distribuerede teams, der arbejder i hybrid- og fjernmodeller. Og ligesom hybride arbejdsmiljøer er kommet for at blive, har multicloud-tilgangen taget fat. Gartner forudser, at den globale cloud-omsætning vil nå $ 474 milliarder i 2022, med 90% af virksomhederne arbejder allerede hen imod en multicloud-strategi.
Når den udnyttes korrekt, kan en multicloud-strategi gøre mange processer mere effektive. Det giver også større modstandsdygtighed over for afbrydelser og mere leverandørfleksibilitet end en single-cloud-strategi. Yderligere fordele omfatter:
- Undgå leverandørlåsning med én cloud-udbyder. En organisation med et globalt fodaftryk og specialiserede data kan vælge placeringen af datacentret med den mindste indvirkning på sin virksomhed. For eksempel er Microsoft Azure i øjeblikket førende i Mellemøsten fra et datacenterplaceringsperspektiv.
- Evnen til at drage fordel af de forskellige funktioner, der tilbydes af hver cloud-leverandør, såsom unikke databaseløsninger i Google Cloud eller muligheden for at administrere dine lokale og cloud-ressourcer meget mere problemfrit i Microsoft Azure.
- Bedre omkostninger og forretningsresiliens med specifikke tjenester billigere gennem en specifik leverandør og beskyttelse mod serviceforstyrrelser. Begge kræver design af dine tjenester for at udnytte fordelene, men når først etableret, kan din organisation få sin investering tilbage over to til tre år, hvilket resulterer i langsigtede omkostningsbesparelser.
Disse fordele har dog en omkostning. Det kan være udfordrende at sikre, at data og cloud-infrastruktur er sikker og tilpasset dine forpligtelser og kontroller, når forskellige miljøer hostes gennem flere udbydere. At fortælle en samlet historie omkring data, konfiguration og sikkerhed i disse miljøer kan være næsten umuligt.
CISO'er, der omfavner en multicloud data tilgang skal fokusere på to hovedsikkerhedsproblemer: styring af risici fra leverandører og deres forskellige cloud-driftsmodeller og demonstration af værdien af deres sikkerhedskontroller og -strategier i lyset af øgede omkostninger ved at operere i en multicloud-verden.
Håndtering af risici på tværs af skyer
Virkningen og hyppigheden af cyberangreb er vokset parallelt med det eskalerende fokus på multicloud-strategier. Ransomware-angreb, databrud og større it-udfald toppede Allianz risikobarometer i år for kun anden gang i undersøgelsens historie, hvor ledere rangerer dem som mere bekymrende end forsyningskædeforstyrrelser, naturkatastrofer og pandemien. Virksomheder har ret til at vise bekymring: Organisationer verden over erfarne 50 % flere ugentlige cyberangreb i 2021 sammenlignet med 2020.
Virksomhedsledere er ved at indhente vigtigheden af cyberangreb, men de fleste er underinformerede om risici fra deres leverandørpartnere. I PwC's "2022 Global Digital Trust Insights-undersøgelse”, 57 % af virksomhedslederne sagde, at de forventer et spring i angreb på cloud-tjenester, men kun 37 % sagde, at de forstår skyrisici. Sikkerhedstilgangen og driftsmodellerne varierer blandt cloud-udbydere, og beskyttelse mod risiko er et fælles ansvar, der kun bliver mere komplekst, efterhånden som du tilføjer almindelige cloud-tjenester, der bruger forskellige tilgange, såsom identitets- og adgangsstyring (IAM) eller virtualiserede servere.
For eksempel har forskellige cloud-leverandører deres egen tilgang til rollebaseret adgang. Amazon Web Services håndterer identitet ved at knytte IAM-politikker direkte til en virtuel server, hvilket giver serveren mulighed for at foretage handlinger. Google Clouds tilbud fokuserer derimod på at oprette servicekonti (brugere) og derefter vedhæfte disse konti til serveren, så den kan interagere med en anden ressource. Disse små forskelle lægger sig op i virksomhedsskala, hvilket øger sikkerhedskompleksiteten for at sikre mindst privilegium og andre sikkerhedskrav på tværs af begge skyer.
Fordi cloud-tjenester ikke er designet til at integrere med deres konkurrenter, er det kun begyndelsen at lære, hvordan man bruger sikkerhedsværktøjer for hver cloud-udbyder. It-teams bliver nødt til at centralisere deres sikkerhedsovervågning med et SIEM-værktøj (Security Information Event Management) sammen med andre tredjepartsværktøjer for at øge interoperabiliteten af cloud-tjenester. Disse tilføjede systemer kræver yderligere træning og ressourcer og måske endda yderligere it-bemanding for at sikre ekspertise i hver cloud-platform , hvordan disse platforme arbejder sammen.
Ud over disse indbyggede forskelle mellem deres tjenester, prioriterer de fleste cloud-leverandører deres egne specifikt skræddersyede sikkerhedstilbud. Dette medfører et væld af komplikationer, der plager skysikkerheden. For et eksempel kan en cloud-webapplikationsfirewall (WAF) bruges til at beskytte dit netværk, men den fungerer kun med en specifik cloud-tjenesteudbyder og kan ikke udvides på tværs af flere cloud-tilbud. At duplikere disse funktionaliteter for forskellige udbydere kræver enten duplikering af teams til at understøtte og administrere disse vigtige sikkerhedsværktøjer eller at købe en cloud-agnostisk tjeneste – som føjer endnu en leverandør til blandingen.
Denne yderligere risiko og omkostning, der typisk ikke opdages før sent i implementeringen af en multicloud-model, kan skubbe tidslinjer ud, øge omkostningerne og udløse revisionsresultater. Manglende planlægning og afbødning af disse risici kan efterlade en virksomhed modtagelig for økonomiske tab, lovgivningsmæssige handlinger, retssager og omdømmeskader.
Kommunikation af værdi med risikokvantificering
Gartner anslår, at i 2023 30 % af CISO'ernes effektivitet vil afhænge af deres evne til at demonstrere værdi. Efterhånden som multicloud-datastrategier bliver normen, og omkostningerne ved sikkerhedskontrol inden for denne strategi stiger, kan risikokvantificering hjælpe ledere med at kommunikere deres værdi konsekvent ved at udtrykke multicloud-risikopositionen i klare pengeværdier.
Ifølge PwC havde organisationer, der rapporterede den største forbedring i datatillidsresultater, to ting til fælles: De forudsagde en stigning i deres cybersikkerhedsudgifter, og de inkorporerede business intelligence og dataanalyse i deres operationelle modeller, herunder risikokvantificering.
For at vurdere de finansielle risici ved en multicloud-strategi, skal CISO'er tage højde for omkostningerne ved hver platform afvejet i forhold til deres opfattede risici. Disse overvejelser skal omfatte datastyring og cybersikkerhedspraksis for alle de cloud-udbydere, du overvejer, sammen med alle cloud-agnostiske værktøjer og platforme, du vil bruge til fælles overvågning.
Med så mange faktorer på spil, har du ikke råd til at stole på upræcise, mavefornemmelsesmåleskalaer som "lav, medium, høj" og "rød, gul, grøn". At udtrykke risikodata i økonomiske termer er et kraftfuldt værktøj, fordi det tilbyder et fælles sprog til at kommunikere skiftende risikoprioriteter, forbedre tilpasningen mellem CISO'er og bestyrelsen og lette bedre informerede risikostyringsbeslutninger.
Her er et eksempel: En CISO ser på den økonomiske værdi forbundet med de forskellige risici ved multicloud-arkitektur. Ved at sammenligne taktikker til at afbøde en cybersikkerhedshændelse finder de ud af, at bedre kontrol over administrative privilegier reducerer de økonomiske omkostninger ved begivenheden langt mere end implementering af et cybersikkerhedstræningsprogram. Mens CISO forstår de tekniske detaljer om cyber-risiko inden for multicloud-arkitektur, vil resten af C-suiten drage fordel af klarheden af pengeværdier, der er forbundet med hver risiko- og reduktionstaktik. Ved at give CISO'er mulighed for at fremføre deres sag over for deres kolleger og bestyrelsen, bringer risikokvantificering mere gennemsigtighed til de mange bevægelige dele af en multicloud-strategi.
Ifølge Gartner vil mere end 85 % af organisationerne fungere som cloud-first i 2025, og de vil ikke være i stand til fuldt ud at realisere deres digitale strategier uden at bruge cloud-native teknologier. En Gartner-leder udtrykte det sådan: "Der er ingen forretningsstrategi uden en cloud-strategi."
Det er bydende nødvendigt, at virksomhedsledere forfølger strategier for at beskytte deres data og kommunikere deres multicloud-prioriteter, så de passer på tværs af organisationen med et fælles værdisprog.
