کاهش ریسک و انتقال ارزش در محیط های چند ابری

شرکت‌های بیشتری به عنوان بخشی از تلاش‌های تحول دیجیتال خود برای حمایت از تیم‌های توزیع‌شده که در مدل‌های ترکیبی و از راه دور کار می‌کنند، رویکرد چند ابری را اتخاذ می‌کنند. و درست همانطور که محیط های کاری ترکیبی اینجا هستند، رویکرد چند ابری نیز پابرجاست. گارتنر پیش‌بینی می‌کند که درآمد ابر جهانی به آن برسد 474 میلیارد $ در 2022، با 90 درصد از شرکت ها در حال حاضر به سمت یک استراتژی چند ابری کار می کند.

هنگامی که یک استراتژی چند ابری به درستی استفاده شود، می تواند بسیاری از فرآیندها را کارآمدتر کند. همچنین نسبت به استراتژی تک ابری، انعطاف پذیری بیشتری در برابر قطع و انعطاف پذیری فروشنده بیشتر ارائه می دهد. مزایای اضافی عبارتند از:

• اجتناب از قفل شدن فروشنده با یک ارائه دهنده ابر. یک سازمان با ردپای جهانی و داده های تخصصی می تواند مکان مرکز داده را با کمترین تأثیر بر تجارت خود انتخاب کند. به عنوان مثال، Microsoft Azure در حال حاضر از منظر مکان یابی مرکز داده در خاورمیانه پیشتاز است.
• توانایی استفاده از ویژگی‌های متمایز ارائه شده توسط هر فروشنده ابری، مانند راه‌حل‌های پایگاه داده منحصربه‌فرد در Google Cloud یا توانایی مدیریت یکپارچه‌تر منابع داخلی و ابری خود در Microsoft Azure.
• هزینه های بهتر و انعطاف پذیری کسب و کار، با خدمات خاص ارزان تر از طریق یک فروشنده خاص و محافظت در برابر اختلالات خدمات. هر دو نیاز به طراحی خدمات شما برای استفاده از مزایا دارند، اما پس از تأسیس، سازمان شما می‌تواند سرمایه‌گذاری خود را طی دو تا سه سال پس‌انداز کند و در نتیجه در درازمدت صرفه‌جویی در هزینه‌ها به همراه داشته باشد.

با این حال، این مزایا هزینه دارد. هنگامی که محیط‌های متفاوت از طریق چندین ارائه‌دهنده میزبانی می‌شوند، اطمینان از ایمن بودن داده‌ها و زیرساخت‌های ابری و همسو با تعهدات و کنترل‌های شما می‌تواند چالش برانگیز باشد. گفتن یک داستان متحد در مورد داده ها، پیکربندی و امنیت در آن محیط ها تقریباً غیرممکن است.

CISOهایی که از الف رویکرد داده چند ابری باید بر دو نگرانی اصلی امنیتی تمرکز کند: مدیریت ریسک‌های ناشی از فروشندگان و مدل‌های مختلف عملیات ابری آن‌ها، و نشان دادن ارزش کنترل‌ها و استراتژی‌های امنیتی آنها در مواجهه با افزایش هزینه‌های عملیات در دنیای چند ابری.

مدیریت ریسک در سراسر ابرها

تأثیر و فراوانی حملات سایبری به موازات افزایش تمرکز بر استراتژی‌های چند ابری افزایش یافته است. حملات باج‌افزاری، نقض داده‌ها و قطعی‌های بزرگ فناوری اطلاعات در صدر قرار گرفتند فشارسنج ریسک آلیانز امسال برای دومین بار در تاریخ این نظرسنجی، مدیران اجرایی آن‌ها را نگران‌تر از اختلال زنجیره تامین، بلایای طبیعی و همه‌گیری رتبه‌بندی کردند. شرکت‌ها حق دارند نگرانی خود را نشان دهند: سازمان‌های با تجربه در سراسر جهان 50 درصد بیشتر حملات سایبری هفتگی در سال 2021، در مقایسه با سال 2020.

رهبران کسب و کار در حال پیگیری اهمیت حملات سایبری هستند، اما بیشتر آنها در مورد خطرات ناشی از شرکای فروشندگان خود اطلاعات کافی ندارند. در PwC”نظرسنجی جهانی اعتماد دیجیتال 202257 درصد از رهبران کسب‌وکار گفتند که پیش‌بینی می‌کنند حملات به سرویس‌های ابری افزایش یابد، اما تنها 37 درصد گفتند که خطرات ابر را درک می‌کنند. رویکرد و مدل‌های عملیاتی امنیت در میان ارائه‌دهندگان ابری متفاوت است، و محافظت در برابر خطر یک مسئولیت مشترک است که تنها با افزودن سرویس‌های ابری رایج که از رویکردهای متفاوتی استفاده می‌کنند، مانند مدیریت هویت و دسترسی (IAM) یا سرورهای مجازی، پیچیده‌تر می‌شود.

به عنوان مثال، فروشندگان ابری مختلف رویکرد خاص خود را برای دسترسی مبتنی بر نقش دارند. خدمات وب آمازون با پیوست کردن خط مشی های IAM به طور مستقیم به یک سرور مجازی، هویت را کنترل می کند، که به سرور توانایی انجام اقدامات را می دهد. در مقابل، پیشنهاد Google Cloud بر ایجاد حساب‌های سرویس (کاربران) و سپس پیوست کردن آن حساب‌ها به سرور متمرکز است تا بتواند با منبع دیگری تعامل داشته باشد. این تفاوت‌های کوچک در مقیاس سازمانی افزایش می‌یابد و پیچیدگی امنیتی را برای تضمین حداقل امتیاز و سایر الزامات امنیتی در هر دو ابر افزایش می‌دهد.

از آنجایی که سرویس‌های ابری برای ادغام با رقبای خود طراحی نشده‌اند، یادگیری نحوه استفاده از ابزارهای امنیتی برای هر ارائه‌دهنده ابری تازه آغاز راه است. تیم های فناوری اطلاعات باید نظارت بر امنیت خود را با ابزار مدیریت رویداد اطلاعات امنیتی (SIEM) همراه با سایر ابزارهای شخص ثالث برای افزایش قابلیت همکاری سرویس های ابری متمرکز کنند. این سیستم های اضافه شده به آموزش و منابع اضافی و شاید حتی کارکنان فناوری اطلاعات اضافی برای اطمینان از تخصص در هر پلت فرم ابری نیاز دارند و چگونه آن پلتفرم ها با هم کار می کنند.

علاوه بر این تفاوت‌های داخلی بین سرویس‌هایشان، اکثر فروشندگان ابری پیشنهادات امنیتی خاص خود را اولویت‌بندی می‌کنند. این منجر به مجموعه ای از عوارضی می شود که امنیت ابر را تهدید می کند. به عنوان مثال، یک فایروال برنامه کاربردی وب ابری (WAF) می تواند برای محافظت از شبکه شما استفاده شود، اما فقط با یک ارائه دهنده خدمات ابری خاص کار می کند و نمی تواند در چندین پیشنهاد ابری گسترش یابد. کپی کردن این قابلیت‌ها برای ارائه‌دهندگان مختلف نیازمند تیم‌های تکراری برای پشتیبانی و مدیریت این ابزارهای امنیتی کلیدی یا خرید یک سرویس ابری ناشناس است - که فروشنده دیگری را به این ترکیب اضافه می‌کند.

این ریسک و هزینه اضافی، که معمولاً تا اواخر استقرار یک مدل چند ابری کشف نمی‌شود، می‌تواند جدول‌های زمانی را حذف کند، هزینه را افزایش دهد و یافته‌های حسابرسی را آغاز کند. عدم برنامه ریزی و کاهش این خطرات می تواند شرکت را مستعد زیان مالی، اقدامات نظارتی، دعوی قضایی و آسیب به شهرت کند.

ارتباط ارزش با کمیت ریسک

گارتنر تخمین می زند که تا سال 2023، 30 درصد از اثربخشی CISO به توانایی آنها در نشان دادن ارزش بستگی دارد. همانطور که استراتژی‌های داده چند ابری به هنجار تبدیل می‌شوند و هزینه کنترل‌های امنیتی در آن استراتژی افزایش می‌یابد، کمی‌سازی ریسک می‌تواند به رهبران کمک کند تا ارزش خود را به طور مداوم با بیان وضعیت ریسک چند ابری در مقادیر پولی واضح بیان کنند.

به گفته PwC، سازمان‌هایی که بیشترین بهبود را در نتایج اعتماد داده‌ها گزارش کرده‌اند، دو چیز مشترک داشتند: آنها افزایش هزینه‌های امنیت سایبری خود را پیش‌بینی کردند، و هوش تجاری و تجزیه و تحلیل داده‌ها را در مدل‌های عملیاتی خود، از جمله کمی‌سازی ریسک، گنجاندند.

برای ارزیابی ریسک‌های مالی یک استراتژی چند ابری، CISO باید هزینه‌های هر پلتفرم را که در مقابل ریسک‌های درک شده آن‌ها سنجیده می‌شود، در نظر بگیرند. این ملاحظات باید شامل مدیریت داده‌ها و شیوه‌های امنیت سایبری همه ارائه‌دهندگان ابری مورد نظر شما، همراه با ابزارها و پلتفرم‌هایی باشد که برای نظارت مشترک استفاده می‌کنید.

با وجود عوامل بسیار زیاد، نمی‌توانید به مقیاس‌های اندازه‌گیری نادقیق و حسی مانند «کم، متوسط، زیاد» و «قرمز، زرد، سبز» اعتماد کنید. بیان داده‌های ریسک در شرایط مالی ابزار قدرتمندی است زیرا زبان مشترکی را برای برقراری ارتباط با اولویت‌های ریسک در حال تغییر، بهبود همسویی بین CISO و هیئت مدیره، و تسهیل تصمیم‌گیری‌های مدیریت ریسک با آگاهی بهتر ارائه می‌دهد.

در اینجا یک مثال آورده شده است: یک CISO به ارزش مالی مرتبط با خطرات مختلف معماری چند ابری نگاه می کند. با مقایسه تاکتیک‌های کاهش یک حادثه امنیت سایبری، آنها دریافتند که کنترل بهتر بر امتیازات اداری هزینه مالی رویداد را بسیار بیشتر از اجرای یک برنامه آموزشی امنیت سایبری کاهش می‌دهد. در حالی که CISO جزئیات فنی ریسک سایبری را در معماری چند ابری درک می‌کند، بقیه قسمت‌های C-suite از وضوح ارزش‌های پولی مرتبط با هر تاکتیک ریسک و کاهش سود خواهند برد. با توانمند ساختن CISOها برای ارائه نظرات خود به همکاران و هیئت مدیره، کمی سازی ریسک شفافیت بیشتری را برای بسیاری از بخش های متحرک یک استراتژی چند ابری به ارمغان می آورد.

به گفته گارتنر، بیش از 85 درصد از سازمان‌ها تا سال 2025 به عنوان ابر اول عمل خواهند کرد و نمی‌توانند بدون استفاده از فناوری‌های بومی ابری، استراتژی‌های دیجیتال خود را به طور کامل محقق کنند. یکی از رهبران گارتنر اینگونه بیان می کند: هیچ استراتژی تجاری بدون استراتژی ابری وجود ندارد.

ضروری است که رهبران کسب‌وکار استراتژی‌هایی را برای محافظت از داده‌های خود و برقراری ارتباط با اولویت‌های چند ابری خود دنبال کنند، و در سراسر سازمان با یک زبان ارزشی مشترک هماهنگ شوند.