Μετριασμός κινδύνου και επικοινωνία αξίας σε περιβάλλοντα πολλαπλών νέφους

Περισσότερες επιχειρήσεις ακολουθούν μια προσέγγιση multicloud ως μέρος των προσπαθειών τους για ψηφιακό μετασχηματισμό για την υποστήριξη κατανεμημένων ομάδων που εργάζονται σε υβριδικά και απομακρυσμένα μοντέλα. Και όπως τα υβριδικά περιβάλλοντα εργασίας είναι εδώ για να μείνουν, η προσέγγιση του multicloud έχει επικρατήσει. Η Gartner προβλέπει ότι τα παγκόσμια έσοδα cloud θα φτάσουν 474 δις $ σε 2022, με 90% των επιχειρήσεων εργάζονται ήδη προς μια στρατηγική multicloud.

Όταν χρησιμοποιείται σωστά, μια στρατηγική multicloud μπορεί να κάνει πολλές διαδικασίες πιο αποτελεσματικές. Προσφέρει επίσης μεγαλύτερη ανθεκτικότητα σε διακοπές λειτουργίας και μεγαλύτερη ευελιξία προμηθευτή από ό,τι μια στρατηγική single-cloud. Πρόσθετα πλεονεκτήματα περιλαμβάνουν:

• Αποφυγή κλειδώματος προμηθευτή με έναν πάροχο cloud. Ένας οργανισμός με παγκόσμιο αποτύπωμα και εξειδικευμένα δεδομένα μπορεί να επιλέξει την τοποθεσία του κέντρου δεδομένων με τον μικρότερο αντίκτυπο στην επιχείρησή του. Για παράδειγμα, το Microsoft Azure ηγείται επί του παρόντος στη Μέση Ανατολή από την άποψη της τοποθεσίας του κέντρου δεδομένων.
• Η δυνατότητα να επωφεληθείτε από διακριτικά χαρακτηριστικά που προσφέρονται από κάθε προμηθευτή cloud, όπως μοναδικές λύσεις βάσεων δεδομένων στο Google Cloud ή τη δυνατότητα να διαχειρίζεστε τις εγκαταστάσεις σας και τους πόρους cloud πολύ πιο απρόσκοπτα στο Microsoft Azure.
• Καλύτερο κόστος και ανθεκτικότητα της επιχείρησης, με συγκεκριμένες υπηρεσίες λιγότερο δαπανηρές μέσω συγκεκριμένου προμηθευτή και προστασίες από διακοπές παροχής υπηρεσιών. Και οι δύο απαιτούν να σχεδιάσετε τις υπηρεσίες σας για να αξιοποιήσετε τα οφέλη, αλλά μόλις εγκατασταθεί, ο οργανισμός σας μπορεί να ανακτήσει την επένδυσή του σε διάστημα δύο έως τριών ετών, με αποτέλεσμα μακροπρόθεσμη εξοικονόμηση κόστους.

Ωστόσο, αυτά τα πλεονεκτήματα έχουν κόστος. Μπορεί να είναι δύσκολο να διασφαλίσετε ότι η υποδομή δεδομένων και cloud είναι ασφαλής και ευθυγραμμισμένη με τις υποχρεώσεις και τους ελέγχους σας όταν διαφορετικά περιβάλλοντα φιλοξενούνται μέσω πολλών παρόχων. Η αφήγηση μιας ενοποιημένης ιστορίας γύρω από τα δεδομένα, τη διαμόρφωση και την ασφάλεια σε αυτά τα περιβάλλοντα μπορεί να είναι σχεδόν αδύνατη.

CISO που ασπάζονται α προσέγγιση δεδομένων πολλαπλού νέφους πρέπει να επικεντρωθεί σε δύο βασικά ζητήματα ασφάλειας: τη διαχείριση των κινδύνων που θέτουν οι προμηθευτές και τα διαφορετικά μοντέλα λειτουργίας cloud τους και η επίδειξη της αξίας των ελέγχων και των στρατηγικών ασφαλείας τους ενόψει του αυξημένου κόστους λειτουργίας σε έναν κόσμο πολλαπλών νέφους.

Διαχείριση κινδύνου στα σύννεφα

Ο αντίκτυπος και η συχνότητα των κυβερνοεπιθέσεων έχει αυξηθεί παράλληλα με την κλιμακούμενη εστίαση στις στρατηγικές multicloud. Οι επιθέσεις ransomware, οι παραβιάσεις δεδομένων και οι μεγάλες διακοπές IT ξεπέρασαν την κορυφή Βαρόμετρο κινδύνου Allianz φέτος για μόνο δεύτερη φορά στην ιστορία της έρευνας, με τα στελέχη να τα κατατάσσουν ως πιο ανησυχητικά από τη διακοπή της αλυσίδας εφοδιασμού, τις φυσικές καταστροφές και την πανδημία. Οι εταιρείες έχουν δίκιο να εκδηλώνουν ανησυχία: Οργανισμοί με εμπειρία σε όλο τον κόσμο 50% περισσότερες εβδομαδιαίες κυβερνοεπιθέσεις το 2021, σε σύγκριση με το 2020.

Οι ηγέτες των επιχειρήσεων αντιλαμβάνονται τη σημασία των επιθέσεων στον κυβερνοχώρο, αλλά οι περισσότεροι δεν είναι ενημερωμένοι σχετικά με τους κινδύνους που ενέχουν οι συνεργάτες τους. Στην PwC's "2022 Global Digital Trust Insights Survey», το 57% των ηγετών επιχειρήσεων δήλωσε ότι αναμένει άλμα στις επιθέσεις σε υπηρεσίες cloud, αλλά μόνο το 37% δήλωσε ότι κατανοεί τους κινδύνους του cloud. Η προσέγγιση και τα μοντέλα λειτουργίας ασφάλειας διαφέρουν μεταξύ των παρόχων cloud και η προστασία από τον κίνδυνο είναι μια κοινή ευθύνη που γίνεται πιο περίπλοκη καθώς προσθέτετε κοινές υπηρεσίες cloud που χρησιμοποιούν διαφορετικές προσεγγίσεις, όπως διαχείριση ταυτότητας και πρόσβασης (IAM) ή εικονικούς διακομιστές.

Για παράδειγμα, διαφορετικοί προμηθευτές cloud έχουν τη δική τους προσέγγιση για την πρόσβαση βάσει ρόλων. Το Amazon Web Services χειρίζεται την ταυτότητα επισυνάπτοντας πολιτικές IAM απευθείας σε έναν εικονικό διακομιστή, ο οποίος παρέχει στον διακομιστή τη δυνατότητα να προβεί σε ενέργειες. Η προσφορά του Google Cloud, αντίθετα, εστιάζει στη δημιουργία λογαριασμών υπηρεσίας (χρήστες) και στη συνέχεια στην προσάρτηση αυτών των λογαριασμών στον διακομιστή, ώστε να μπορεί να αλληλεπιδράσει με έναν άλλο πόρο. Αυτές οι μικρές διαφορές αθροίζονται σε εταιρική κλίμακα, οδηγώντας στην πολυπλοκότητα της ασφάλειας για να διασφαλιστούν τα λιγότερα προνόμια και άλλες απαιτήσεις ασφάλειας και στα δύο cloud.

Επειδή οι υπηρεσίες cloud δεν έχουν σχεδιαστεί για να ενσωματώνονται με τους ανταγωνιστές τους, η εκμάθηση του τρόπου χρήσης εργαλείων ασφαλείας για κάθε πάροχο cloud είναι μόνο η αρχή. Οι ομάδες πληροφορικής θα πρέπει να συγκεντρώσουν την παρακολούθηση ασφαλείας τους με ένα εργαλείο διαχείρισης συμβάντων πληροφοριών ασφαλείας (SIEM), μαζί με άλλα εργαλεία τρίτων για να αυξήσουν τη διαλειτουργικότητα των υπηρεσιών cloud. Αυτά τα προστιθέμενα συστήματα απαιτούν πρόσθετη εκπαίδευση και πόρους και ίσως ακόμη και πρόσθετο προσωπικό πληροφορικής για να διασφαλιστεί η τεχνογνωσία σε κάθε πλατφόρμα cloud και πώς αυτές οι πλατφόρμες συνεργάζονται.

Εκτός από αυτές τις ενσωματωμένες διαφορές μεταξύ των υπηρεσιών τους, οι περισσότεροι προμηθευτές cloud δίνουν προτεραιότητα στις δικές τους ειδικά προσαρμοσμένες προσφορές ασφαλείας. Αυτό οδηγεί σε μια σειρά από επιπλοκές που μαστίζουν την ασφάλεια του cloud. Για ένα παράδειγμα, ένα τείχος προστασίας εφαρμογής Web cloud (WAF) μπορεί να χρησιμοποιηθεί για την προστασία του δικτύου σας, αλλά θα λειτουργεί μόνο με έναν συγκεκριμένο πάροχο υπηρεσιών cloud και δεν μπορεί να επεκταθεί σε πολλές προσφορές cloud. Η αντιγραφή αυτών των λειτουργιών για διαφορετικούς παρόχους απαιτεί είτε αντιγραφή ομάδων για την υποστήριξη και διαχείριση αυτών των βασικών εργαλείων ασφαλείας είτε την αγορά μιας υπηρεσίας cloud-agnostic — η οποία προσθέτει έναν ακόμη προμηθευτή στο μείγμα.

Αυτός ο πρόσθετος κίνδυνος και το κόστος, που συνήθως δεν ανακαλύφθηκαν μέχρι αργά στην ανάπτυξη ενός μοντέλου multicloud, μπορεί να ωθήσει τα χρονοδιαγράμματα, να αυξήσει το κόστος και να ενεργοποιήσει ευρήματα ελέγχου. Η αποτυχία σχεδιασμού και άμβλυνσης αυτών των κινδύνων μπορεί να αφήσει μια εταιρεία επιρρεπή σε οικονομική ζημία, ρυθμιστικές ενέργειες, δικαστικές διαφορές και ζημιά στη φήμη.

Επικοινωνία αξίας με ποσοτικοποίηση κινδύνου

Η Gartner εκτιμά ότι μέχρι το 2023, 30% της αποτελεσματικότητας των CISO θα εξαρτηθεί από την ικανότητά τους να επιδεικνύουν αξία. Καθώς οι στρατηγικές δεδομένων multicloud γίνονται ο κανόνας και το κόστος των ελέγχων ασφαλείας στο πλαίσιο αυτής της στρατηγικής αυξάνεται, η ποσοτικοποίηση του κινδύνου μπορεί να βοηθήσει τους ηγέτες να επικοινωνούν με συνέπεια την αξία τους, εκφράζοντας τη στάση κινδύνου multicloud σε σαφείς νομισματικές αξίες.

Σύμφωνα με την PwC, οι οργανισμοί που ανέφεραν τη σημαντικότερη βελτίωση στα αποτελέσματα εμπιστοσύνης δεδομένων είχαν δύο κοινά πράγματα: Προέβλεψαν αύξηση των δαπανών τους για την κυβερνοασφάλεια και ενσωμάτωσαν επιχειρηματική ευφυΐα και ανάλυση δεδομένων στα λειτουργικά τους μοντέλα, συμπεριλαμβανομένης της ποσοτικοποίησης κινδύνου.

Για να αξιολογήσουν τους οικονομικούς κινδύνους μιας στρατηγικής multicloud, οι CISO πρέπει να λαμβάνουν υπόψη το κόστος κάθε πλατφόρμας σε σχέση με τους αντιληπτούς κινδύνους τους. Αυτές οι εκτιμήσεις πρέπει να περιλαμβάνουν τις πρακτικές διαχείρισης δεδομένων και ασφάλειας στον κυβερνοχώρο όλων των παρόχων cloud που εξετάζετε, μαζί με τυχόν εργαλεία και πλατφόρμες αγνωστικιστών στο cloud που θα χρησιμοποιείτε για κοινή παρακολούθηση.

Με τόσους πολλούς παράγοντες να παίζουν, δεν μπορείτε να αντέξετε οικονομικά να βασίζεστε σε ανακριβείς κλίμακες μέτρησης όπως "χαμηλό, μεσαίο, υψηλό" και "κόκκινο, κίτρινο, πράσινο". Η έκφραση δεδομένων κινδύνου με χρηματοοικονομικούς όρους είναι ένα ισχυρό εργαλείο, διότι προσφέρει μια κοινή γλώσσα για την επικοινωνία μεταβαλλόμενων προτεραιοτήτων κινδύνου, τη βελτίωση της ευθυγράμμισης μεταξύ των CISO και του διοικητικού συμβουλίου και τη διευκόλυνση των καλύτερα ενημερωμένων αποφάσεων διαχείρισης κινδύνου.

Ακολουθεί ένα παράδειγμα: Ένας CISO εξετάζει την οικονομική αξία που σχετίζεται με τους διάφορους κινδύνους της αρχιτεκτονικής multicloud. Συγκρίνοντας τις τακτικές για τον μετριασμό ενός περιστατικού κυβερνοασφάλειας, διαπιστώνουν ότι οι καλύτεροι έλεγχοι στα διοικητικά προνόμια μειώνουν το οικονομικό κόστος της εκδήλωσης πολύ περισσότερο από την εφαρμογή ενός εκπαιδευτικού προγράμματος για την ασφάλεια στον κυβερνοχώρο. Ενώ το CISO κατανοεί τις τεχνικές λεπτομέρειες του κινδύνου στον κυβερνοχώρο εντός της αρχιτεκτονικής multicloud, το υπόλοιπο της C-suite θα επωφεληθεί από τη σαφήνεια των χρηματικών αξιών που σχετίζονται με κάθε τακτική κινδύνου και μετριασμού. Ενδυναμώνοντας τους CISO να υποβάλουν την άποψή τους στους συναδέλφους τους και στο διοικητικό συμβούλιο, η ποσοτικοποίηση του κινδύνου φέρνει μεγαλύτερη διαφάνεια στα πολλά κινούμενα μέρη μιας στρατηγικής multicloud.

Σύμφωνα με την Gartner, περισσότερο από το 85% των οργανισμών θα λειτουργούν ως cloud-first έως το 2025 και δεν θα μπορούν να υλοποιήσουν πλήρως τις ψηφιακές στρατηγικές τους χωρίς τη χρήση τεχνολογιών εγγενών cloud. Ένας ηγέτης της Gartner το έθεσε ως εξής: «Δεν υπάρχει επιχειρηματική στρατηγική χωρίς στρατηγική cloud».

Είναι επιτακτική ανάγκη οι ηγέτες των επιχειρήσεων να ακολουθούν στρατηγικές για να προστατεύουν τα δεδομένα τους και να επικοινωνούν τις προτεραιότητές τους στο multicloud, ευθυγραμμίζοντας σε ολόκληρο τον οργανισμό με μια κοινή γλώσσα αξίας.