Flere bedrifter tar en multicloud-tilnærming som en del av deres digitale transformasjonsarbeid for å støtte distribuerte team som jobber i hybride og eksterne modeller. Og akkurat som hybride arbeidsmiljøer er kommet for å bli, har multicloud-tilnærmingen tatt tak. Gartner spår at globale skyinntekter vil nå $ 474 milliarder i 2022med 90% av foretakene jobber allerede mot en multicloud-strategi.
Når den utnyttes på riktig måte, kan en multicloud-strategi gjøre mange prosesser mer effektive. Det gir også større motstandskraft mot driftsstans og mer leverandørfleksibilitet enn en strategi med én sky. Ytterligere fordeler inkluderer:
- Unngå leverandørlås med én skyleverandør. En organisasjon med et globalt fotavtrykk og spesialiserte data kan velge plasseringen til datasenteret med minst mulig innvirkning på virksomheten. For eksempel leder Microsoft Azure for tiden i Midtøsten fra et datasenterplasseringsperspektiv.
- Muligheten til å dra nytte av særegne funksjoner som tilbys av hver nettskyleverandør, for eksempel unike databaseløsninger i Google Cloud eller muligheten til å administrere dine lokale og skyressurser mye mer sømløst i Microsoft Azure.
- Bedre kostnader og forretningsresiliens, med spesifikke tjenester rimeligere gjennom en spesifikk leverandør og beskyttelse mot tjenesteforstyrrelser. Begge krever utforming av tjenestene dine for å utnytte fordelene, men når den er etablert, kan organisasjonen tjene tilbake investeringene sine over to til tre år, noe som resulterer i langsiktige kostnadsbesparelser.
Disse fordelene har imidlertid en kostnad. Det kan være utfordrende å sikre at data og skyinfrastruktur er sikker og tilpasset dine forpliktelser og kontroller når forskjellige miljøer er vert for flere leverandører. Å fortelle en enhetlig historie rundt dataene, konfigurasjonen og sikkerheten i disse miljøene kan være nesten umulig.
CISOer som omfavner en multicloud data tilnærming må fokusere på to hovedsikkerhetsproblemer: håndtering av risikoer fra leverandører og deres ulike skydriftsmodeller, og demonstrere verdien av deres sikkerhetskontroller og strategier i møte med økte kostnader ved å operere i en multiskyverden.
Håndtere risiko på tvers av skyer
Effekten og hyppigheten av nettangrep har vokst parallelt med det økende fokuset på multicloud-strategier. Ransomware-angrep, datainnbrudd og store IT-brudd toppet Allianz risikobarometer i år for bare andre gang i undersøkelsens historie, med ledere som rangerer dem som mer bekymringsfulle enn forsyningskjedeavbrudd, naturkatastrofer og pandemien. Bedrifter har rett i å vise bekymring: Organisasjoner over hele verden erfarne 50 % flere ukentlige nettangrep i 2021, sammenlignet med 2020.
Bedriftsledere fanger opp viktigheten av nettangrep, men de fleste er underinformert om risikoen fra leverandørpartnerne deres. I PwCs "2022 Global Digital Trust Insights Survey,” 57 % av bedriftslederne sa at de forventer et hopp i angrep på skytjenester, men bare 37 % sa at de forstår skyrisikoer. Tilnærmingen og driftsmodellene for sikkerhet varierer mellom skyleverandører, og beskyttelse mot risiko er et delt ansvar som bare blir mer komplekst etter hvert som du legger til vanlige skytjenester som bruker forskjellige tilnærminger, for eksempel identitets- og tilgangsadministrasjon (IAM) eller virtualiserte servere.
For eksempel har forskjellige skyleverandører sin egen tilnærming til rollebasert tilgang. Amazon Web Services håndterer identitet ved å knytte IAM-policyer direkte til en virtuell server, som gir serveren muligheten til å utføre handlinger. Google Clouds tilbud fokuserer derimot på å opprette tjenestekontoer (brukere) og deretter knytte disse kontoene til serveren slik at den kan samhandle med en annen ressurs. Disse små forskjellene øker i bedriftsskala, og øker sikkerhetskompleksiteten for å sikre minst mulig privilegium og andre sikkerhetskrav på tvers av begge skyene.
Fordi skytjenester ikke er designet for å integreres med konkurrentene, er det bare begynnelsen å lære hvordan du bruker sikkerhetsverktøy for hver skyleverandør. IT-team må sentralisere sikkerhetsovervåkingen med et verktøy for styring av sikkerhetsinformasjonshendelser (SIEM), sammen med andre tredjepartsverktøy for å øke interoperabiliteten til skytjenester. Disse ekstra systemene krever ekstra opplæring og ressurser og kanskje til og med ekstra IT-bemanning for å sikre ekspertise i hver skyplattform og hvordan disse plattformene fungerer sammen.
I tillegg til disse innebygde forskjellene mellom tjenestene deres, prioriterer de fleste skyleverandører sine egne spesifikt skreddersydde sikkerhetstilbud. Dette fører til en rekke komplikasjoner som plager skysikkerheten. For ett eksempel kan en brannmur for nettsky-applikasjoner (WAF) brukes til å beskytte nettverket ditt, men det vil bare fungere med en spesifikk skytjenesteleverandør og kan ikke utvides til flere skytilbud. Å duplisere disse funksjonene for forskjellige leverandører krever enten duplisering av team for å støtte og administrere disse viktige sikkerhetsverktøyene eller kjøpe en skyagnostisk tjeneste – som legger til enda en leverandør til blandingen.
Denne ekstra risikoen og kostnaden, som vanligvis ikke oppdages før sent i utrullingen av en multicloud-modell, kan presse ut tidslinjer, øke kostnadene og utløse revisjonsfunn. Unnlatelse av å planlegge for og redusere disse risikoene kan gjøre et selskap utsatt for økonomisk tap, regulatoriske tiltak, rettssaker og skade på omdømmet.
Kommunisere verdi med risikokvantifisering
Gartner anslår at innen 2023, 30 % av CISOs effektivitet vil avhenge av deres evne til å vise verdi. Ettersom multicloud-datastrategier blir normen og kostnadene for sikkerhetskontroller innenfor den strategien øker, kan risikokvantifisering hjelpe ledere med å kommunisere sin verdi konsekvent ved å uttrykke multicloud-risikoposisjonen i klare pengeverdier.
I følge PwC hadde organisasjoner som rapporterte den mest betydelige forbedringen i datatillitsutfall to ting til felles: De spådde en økning i cybersikkerhetsutgifter, og de inkorporerte forretningsintelligens og dataanalyse i sine operasjonelle modeller, inkludert risikokvantifisering.
For å vurdere den økonomiske risikoen ved en multicloud-strategi, må CISO-er ta hensyn til kostnadene for hver plattform veid opp mot deres opplevde risiko. Disse vurderingene må inkludere dataadministrasjon og nettsikkerhetspraksis til alle skyleverandørene du vurderer, sammen med eventuelle skyagnostiske verktøy og plattformer du vil bruke for felles overvåking.
Med så mange faktorer som spiller inn, har du ikke råd til å stole på upresise, magefølende måleskalaer som «lav, middels, høy» og «rød, gul, grønn». Å uttrykke risikodata i økonomiske termer er et kraftig verktøy fordi det tilbyr et felles språk for å kommunisere endrede risikoprioriteringer, forbedre tilpasningen mellom CISOer og styret, og legge til rette for bedre informerte risikostyringsbeslutninger.
Her er et eksempel: En CISO ser på den økonomiske verdien knyttet til de ulike risikoene ved multicloud-arkitektur. Ved å sammenligne taktikker for å redusere en cybersikkerhetshendelse, finner de at bedre kontroller over administrative privilegier reduserer de økonomiske kostnadene ved arrangementet langt mer enn å implementere et cybersikkerhetsopplæringsprogram. Mens CISO forstår de tekniske detaljene om cyberrisiko innenfor multicloud-arkitektur, vil resten av C-suiten dra nytte av klarheten i pengeverdier knyttet til hver risiko- og reduseringstaktikk. Ved å gi CISOer mulighet til å fremme sin sak overfor sine kolleger og styret, gir risikokvantifisering mer åpenhet til de mange bevegelige delene av en multisky-strategi.
I følge Gartner vil mer enn 85 % av organisasjonene fungere som sky-først innen 2025, og de vil ikke være i stand til å realisere sine digitale strategier fullt ut uten å bruke skybaserte teknologier. En Gartner-leder sa det slik: "Det er ingen forretningsstrategi uten en skystrategi."
Det er viktig at bedriftsledere følger strategier for å beskytte dataene deres og kommunisere deres multisky-prioriteringer, og tilpasser organisasjonen med et felles verdispråk.
