Semakin banyak perusahaan yang menggunakan pendekatan multicloud sebagai bagian dari upaya transformasi digital mereka untuk mendukung tim terdistribusi yang bekerja dalam model hybrid dan jarak jauh. Dan seiring dengan semakin populernya lingkungan kerja hibrid, pendekatan multicloud pun mulai diterapkan. Gartner memperkirakan pendapatan cloud global akan mencapai $ 474 miliar 2022, dengan 90% perusahaan sudah berupaya menuju strategi multicloud.
Jika dimanfaatkan dengan benar, strategi multicloud dapat membuat banyak proses menjadi lebih efisien. Strategi ini juga menawarkan ketahanan yang lebih baik terhadap pemadaman listrik dan fleksibilitas vendor yang lebih besar dibandingkan strategi cloud tunggal. Keuntungan tambahan meliputi:
- Menghindari vendor lock-in dengan satu penyedia cloud. Organisasi dengan jangkauan global dan data khusus dapat memilih lokasi pusat data yang dampaknya paling kecil terhadap bisnisnya. Misalnya, Microsoft Azure saat ini memimpin di Timur Tengah dari perspektif lokasi pusat data.
- Kemampuan untuk memanfaatkan fitur-fitur berbeda yang ditawarkan oleh setiap vendor cloud, seperti solusi database unik di Google Cloud atau kemampuan untuk mengelola sumber daya lokal dan cloud Anda dengan lebih lancar di Microsoft Azure.
- Biaya dan ketahanan bisnis yang lebih baik, dengan layanan spesifik yang lebih murah melalui vendor tertentu dan perlindungan terhadap gangguan layanan. Keduanya memerlukan perancangan layanan untuk memanfaatkan manfaatnya, namun setelah didirikan, organisasi Anda dapat memperoleh kembali investasinya dalam dua hingga tiga tahun, sehingga menghasilkan penghematan biaya jangka panjang.
Namun, keuntungan ini harus dibayar mahal. Memastikan data dan infrastruktur cloud aman dan selaras dengan kewajiban dan kontrol Anda dapat menjadi sebuah tantangan ketika lingkungan yang berbeda dihosting melalui beberapa penyedia. Menceritakan kisah terpadu seputar data, konfigurasi, dan keamanan dalam lingkungan tersebut hampir mustahil.
CISO yang menerima a pendekatan data multicloud harus fokus pada dua masalah keamanan utama: mengelola risiko yang ditimbulkan oleh vendor dan model operasi cloud mereka yang berbeda, dan menunjukkan nilai dari kontrol dan strategi keamanan mereka dalam menghadapi peningkatan biaya pengoperasian di dunia multicloud.
Mengelola Risiko di Seluruh Cloud
Dampak dan frekuensi serangan siber meningkat seiring dengan meningkatnya fokus pada strategi multicloud. Serangan Ransomware, pembobolan data, dan pemadaman TI besar-besaran menduduki peringkat teratas Barometer Risiko Allianz tahun ini adalah yang kedua kalinya dalam sejarah survei ini, dan para eksekutif menilai hal ini lebih mengkhawatirkan dibandingkan gangguan rantai pasokan, bencana alam, dan pandemi. Perusahaan berhak menunjukkan kepeduliannya: Organisasi di seluruh dunia berpengalaman 50% lebih banyak serangan cyber mingguan pada tahun 2021, dibandingkan dengan tahun 2020.
Para pemimpin dunia usaha mulai menyadari pentingnya serangan siber, namun sebagian besar dari mereka kurang mendapat informasi mengenai risiko yang ditimbulkan oleh mitra vendor mereka. Di PwC โSurvei Wawasan Kepercayaan Digital Global 2022, 57% pemimpin bisnis mengatakan mereka mengantisipasi lonjakan serangan terhadap layanan cloud, namun hanya 37% yang mengatakan mereka memahami risiko cloud. Pendekatan dan model pengoperasian keamanan bervariasi antar penyedia cloud, dan perlindungan terhadap risiko adalah tanggung jawab bersama yang semakin kompleks seiring dengan penambahan layanan cloud umum yang menggunakan pendekatan berbeda, seperti manajemen identitas dan akses (IAM) atau server tervirtualisasi.
Misalnya, vendor cloud yang berbeda memiliki pendekatannya sendiri terhadap akses berbasis peran. Amazon Web Services menangani identitas dengan melampirkan kebijakan IAM langsung ke server virtual, yang memberikan server kemampuan untuk mengambil tindakan. Sebaliknya, penawaran Google Cloud berfokus pada pembuatan akun layanan (pengguna) dan kemudian melampirkan akun tersebut ke server sehingga dapat berinteraksi dengan sumber daya lain. Perbedaan-perbedaan kecil ini bertambah pada skala perusahaan, mendorong kompleksitas keamanan untuk memastikan hak istimewa yang paling sedikit dan persyaratan keamanan lainnya di kedua cloud.
Karena layanan cloud tidak dirancang untuk berintegrasi dengan pesaingnya, mempelajari cara menggunakan alat keamanan untuk setiap penyedia cloud hanyalah permulaan. Tim TI perlu memusatkan pemantauan keamanan mereka dengan alat manajemen peristiwa informasi keamanan (SIEM), bersama dengan alat pihak ketiga lainnya untuk meningkatkan interoperabilitas layanan cloud. Sistem tambahan ini memerlukan pelatihan dan sumber daya tambahan dan bahkan mungkin tambahan staf TI untuk memastikan keahlian di setiap platform cloud dan bagaimana platform tersebut bekerja sama.
Selain perbedaan bawaan antara layanan mereka, sebagian besar vendor cloud memprioritaskan penawaran keamanan mereka yang dirancang khusus. Hal ini mendorong sejumlah komplikasi yang mengganggu keamanan cloud. Misalnya, firewall aplikasi Web cloud (WAF) dapat digunakan untuk melindungi jaringan Anda, namun hanya akan berfungsi dengan penyedia layanan cloud tertentu dan tidak dapat diperluas ke beberapa penawaran cloud. Menduplikasi fungsi-fungsi ini untuk penyedia yang berbeda memerlukan tim duplikat untuk mendukung dan mengelola alat keamanan utama ini atau membeli layanan cloud-agnostic โ yang berarti menambahkan vendor lain ke dalamnya.
Risiko dan biaya tambahan ini, yang biasanya baru diketahui pada akhir penerapan model multicloud, dapat menunda jadwal, meningkatkan biaya, dan memicu temuan audit. Kegagalan untuk merencanakan dan memitigasi risiko-risiko ini dapat membuat perusahaan rentan terhadap kerugian finansial, tindakan regulasi, litigasi, dan kerusakan reputasi.
Mengkomunikasikan Nilai Dengan Kuantifikasi Risiko
Gartner memperkirakan bahwa pada tahun 2023, 30% dari efektivitas CISO akan bergantung pada kemampuan mereka untuk menunjukkan nilai. Ketika strategi data multicloud menjadi sebuah norma dan biaya pengendalian keamanan dalam strategi tersebut meningkat, kuantifikasi risiko dapat membantu para pemimpin mengkomunikasikan nilai mereka secara konsisten dengan mengekspresikan postur risiko multicloud dalam nilai moneter yang jelas.
Menurut PwC, organisasi-organisasi yang melaporkan peningkatan paling signifikan dalam hasil kepercayaan data memiliki dua kesamaan: Mereka memperkirakan peningkatan belanja keamanan siber, dan mereka memasukkan intelijen bisnis dan analisis data ke dalam model operasional mereka, termasuk kuantifikasi risiko.
Untuk menilai risiko finansial dari strategi multicloud, CISO harus memperhitungkan biaya setiap platform yang dibandingkan dengan risiko yang mereka rasakan. Pertimbangan tersebut harus mencakup manajemen data dan praktik keamanan siber dari semua penyedia cloud yang Anda pertimbangkan, serta alat dan platform cloud-agnostik yang akan Anda gunakan untuk pemantauan bersama.
Dengan begitu banyak faktor yang berperan, Anda tidak bisa mengandalkan skala pengukuran yang tidak tepat dan sesuai dengan intuisi seperti โrendah, sedang, tinggiโ dan โmerah, kuning, hijau.โ Mengekspresikan data risiko dalam istilah keuangan adalah alat yang ampuh karena menawarkan bahasa yang sama untuk mengkomunikasikan perubahan prioritas risiko, meningkatkan keselarasan antara CISO dan dewan, dan memfasilitasi keputusan manajemen risiko yang lebih tepat.
Berikut ini contohnya: CISO melihat nilai finansial yang terkait dengan berbagai risiko arsitektur multicloud. Dengan membandingkan taktik untuk memitigasi insiden keamanan siber, mereka menemukan bahwa kontrol yang lebih baik terhadap hak administratif mengurangi biaya finansial yang jauh lebih besar dibandingkan penerapan program pelatihan keamanan siber. Meskipun CISO memahami detail teknis risiko siber dalam arsitektur multicloud, seluruh C-suite akan mendapatkan manfaat dari kejelasan nilai moneter yang terkait dengan setiap risiko dan taktik mitigasi. Dengan memberdayakan CISO untuk menyampaikan pendapatnya kepada kolega dan dewan direksi, kuantifikasi risiko menghadirkan transparansi yang lebih besar pada banyak bagian yang bergerak dalam strategi multicloud.
Menurut Gartner, lebih dari 85% organisasi akan berfungsi sebagai cloud-first pada tahun 2025, dan mereka tidak akan dapat sepenuhnya mewujudkan strategi digital mereka tanpa menggunakan teknologi cloud-native. Seorang pemimpin Gartner mengatakannya sebagai berikut: โTidak ada strategi bisnis tanpa strategi cloud.โ
Sangat penting bagi para pemimpin bisnis untuk menerapkan strategi untuk melindungi data mereka dan mengomunikasikan prioritas multicloud mereka, menyelaraskan seluruh organisasi dengan bahasa nilai yang sama.
