Zmanjšanje tveganja in sporočanje vrednosti v večoblačnih okoljih

Več podjetij uporablja pristop več oblakov kot del svojih prizadevanj za digitalno preobrazbo za podporo porazdeljenih skupin, ki delajo v hibridnih in oddaljenih modelih. In tako kot hibridna delovna okolja ostajajo, se je uveljavil pristop več oblakov. Gartner napoveduje, da bodo globalni prihodki v oblaku dosegli $ 474 milijard v 2022s 90% podjetij že delajo na strategiji več oblakov.

Ob pravilnem vzvodu lahko strategija multicloud poveča učinkovitost številnih procesov. Ponuja tudi večjo odpornost na izpade in večjo prilagodljivost prodajalcem kot strategija z enim oblakom. Dodatne prednosti vključujejo:

• Izogibanje zaklepanju ponudnika z enim ponudnikom v oblaku. Organizacija z globalnim odtisom in specializiranimi podatki lahko izbere lokacijo podatkovnega centra z najmanjšim vplivom na svoje poslovanje. Na primer, Microsoft Azure trenutno vodi na Bližnjem vzhodu z vidika lokacije podatkovnega centra.
• Zmožnost izkoriščanja prednosti razlikovalnih funkcij, ki jih ponuja vsak ponudnik oblaka, kot so edinstvene rešitve podatkovnih baz v Google Cloudu ali zmožnost veliko bolj brezhibnega upravljanja vaših lokalnih virov in virov v oblaku v Microsoft Azure.
• Boljši stroški in poslovna odpornost s cenejšimi posebnimi storitvami prek določenega prodajalca in zaščito pred motnjami storitev. Oba zahtevata načrtovanje vaših storitev, da boste izkoristili prednosti, a ko bo vaša organizacija enkrat vzpostavljena, si lahko naložbo povrne v dveh do treh letih, kar ima za posledico dolgoročne prihranke stroškov.

Vendar imajo te prednosti svojo ceno. Kadar različna okolja gostuje pri več ponudnikih, je lahko težko zagotoviti, da so podatki in infrastruktura v oblaku varni in usklajeni z vašimi obveznostmi in kontrolami. Pripovedovanje enotne zgodbe o podatkih, konfiguraciji in varnosti v teh okoljih je lahko skoraj nemogoče.

CISO, ki sprejemajo a večoblačni podatkovni pristop se mora osredotočiti na dve glavni vprašanji glede varnosti: obvladovanje tveganj, ki jih predstavljajo prodajalci in njihovi različni modeli delovanja v oblaku, ter prikaz vrednosti njihovih varnostnih kontrol in strategij glede na povečane stroške delovanja v svetu več oblakov.

Upravljanje tveganja v oblaku

Vpliv in pogostost kibernetskih napadov sta rasla vzporedno s stopnjevanjem osredotočenosti na strategije v več oblakih. Napadi z izsiljevalsko programsko opremo, vdori podatkov in večji izpadi IT so bili na vrhu Allianz Risk Barometer letos šele drugič v zgodovini raziskave, pri čemer so jih vodstveni delavci uvrstili med bolj zaskrbljujoče kot motnje v dobavni verigi, naravne nesreče in pandemija. Podjetja so upravičena, ko so zaskrbljena: organizacije po vsem svetu imajo izkušnje 50 % več kibernetskih napadov na teden leta 2021 v primerjavi z letom 2020.

Vodje podjetij dohitevajo pomen kibernetskih napadov, vendar je večina premalo obveščena o tveganjih, ki jih predstavljajo njihovi partnerji prodajalci. V družbi PwC “Raziskava Global Digital Trust Insights Survey 2022,« je 57 % vodij podjetij izjavilo, da pričakujejo skokovito število napadov na storitve v oblaku, a le 37 % jih je dejalo, da razumejo tveganja v oblaku. Pristop in modeli delovanja varnosti se med ponudniki oblakov razlikujejo, zaščita pred tveganjem pa je skupna odgovornost, ki postaja samo še bolj zapletena, ko dodajate skupne storitve v oblaku, ki uporabljajo različne pristope, kot je upravljanje identitete in dostopa (IAM) ali virtualizirani strežniki.

Na primer, različni ponudniki oblakov imajo svoj pristop k dostopu na podlagi vlog. Spletne storitve Amazon obravnavajo identiteto tako, da pravilnike IAM pritrdijo neposredno na virtualni strežnik, kar strežniku omogoča izvajanje dejanj. V nasprotju s tem se ponudba Google Cloud osredotoča na ustvarjanje storitvenih računov (uporabnikov) in nato pripenjanje teh računov na strežnik, tako da lahko komunicira z drugim virom. Te majhne razlike se seštevajo na ravni podjetja in spodbujajo kompleksnost varnosti, da se zagotovi najmanj privilegijev in drugih varnostnih zahtev v obeh oblakih.

Ker storitve v oblaku niso zasnovane za integracijo s svojimi konkurenti, je učenje uporabe varnostnih orodij za vsakega ponudnika v oblaku šele začetek. Ekipe IT bodo morale centralizirati svoje varnostno spremljanje z orodjem za upravljanje varnostnih informacij (SIEM), skupaj z drugimi orodji tretjih oseb, da bi povečali interoperabilnost storitev v oblaku. Ti dodani sistemi zahtevajo dodatno usposabljanje in vire ter morda celo dodatno IT osebje za zagotovitev strokovnega znanja na vsaki platformi v oblaku in kako te platforme delujejo skupaj.

Poleg teh vgrajenih razlik med njihovimi storitvami večina ponudnikov oblakov daje prednost lastnim posebej prilagojenim varnostnim ponudbam. To povzroča številne zaplete, ki ogrožajo varnost v oblaku. Na primer, požarni zid spletne aplikacije v oblaku (WAF) lahko uporabite za zaščito vašega omrežja, vendar bo deloval samo z določenim ponudnikom storitev v oblaku in ga ni mogoče razširiti na več ponudb v oblaku. Podvajanje teh funkcionalnosti za različne ponudnike zahteva bodisi podvajanje ekip za podporo in upravljanje teh ključnih varnostnih orodij bodisi nakup storitve, ki je neodvisna od oblaka – kar mešanici doda še enega prodajalca.

To dodatno tveganje in stroški, ki se običajno odkrijejo šele pozno v uvedbi modela v več oblakih, lahko potisnejo časovne okvire, povečajo stroške in sprožijo revizijske ugotovitve. Če teh tveganj ne načrtujete in jih ne zmanjšate, lahko podjetje postane dovzetno za finančne izgube, regulativne ukrepe, sodne postopke in škodo za ugled.

Sporočanje vrednosti s količinsko opredelitvijo tveganja

Gartner ocenjuje, da bo do leta 2023 30 % učinkovitosti CISO bodo odvisni od njihove sposobnosti, da pokažejo vrednost. Ker podatkovne strategije v več oblakih postajajo norma in se stroški varnostnih kontrol znotraj te strategije povečujejo, lahko kvantifikacija tveganja pomaga vodjem pri doslednem sporočanju njihove vrednosti z izražanjem tveganja v več oblakih v jasnih denarnih vrednostih.

Po navedbah PwC so imele organizacije, ki so poročale o najpomembnejšem izboljšanju rezultatov zaupanja podatkov, dve skupni stvari: napovedale so povečanje izdatkov za kibernetsko varnost in vključile poslovno inteligenco in analitiko podatkov v svoje operativne modele, vključno s kvantifikacijo tveganja.

Za oceno finančnih tveganj strategije več oblakov morajo CISO upoštevati stroške vsake platforme v primerjavi z njihovimi zaznanimi tveganji. Ti premisleki morajo vključevati prakso upravljanja podatkov in kibernetske varnosti vseh ponudnikov oblaka, o katerih razmišljate, skupaj z vsemi orodji in platformami, ki ne razlikujejo od oblaka, ki jih boste uporabljali za skupno spremljanje.

Ker je v igri toliko dejavnikov, si ne morete privoščiti, da bi se zanašali na nenatančne merilne lestvice, kot so »nizka, srednja, visoka« in »rdeča, rumena, zelena«. Izražanje podatkov o tveganjih v finančnem smislu je zmogljivo orodje, saj ponuja skupni jezik za sporočanje spreminjajočih se prednostnih nalog tveganja, izboljšanje usklajenosti med CISO in upravnim odborom ter omogoča sprejemanje odločitev o upravljanju tveganja na podlagi boljših informacij.

Tu je primer: CISO preučuje finančno vrednost, povezano z različnimi tveganji arhitekture več oblakov. S primerjavo taktik za ublažitev incidenta kibernetske varnosti ugotavljajo, da boljši nadzor nad skrbniškimi privilegiji zmanjša finančne stroške dogodka veliko bolj kot izvajanje programa usposabljanja za kibernetsko varnost. Medtem ko CISO razume tehnične podrobnosti kibernetskega tveganja v arhitekturi z več oblaki, bo preostali del C-suite imel koristi od jasnosti denarnih vrednosti, povezanih z vsakim tveganjem in taktiko ublažitve. Z opolnomočenjem CISO, da predstavijo svoj primer svojim kolegom in upravnemu odboru, kvantifikacija tveganja prinaša večjo preglednost številnim gibljivim delom strategije v več oblakih.

Po podatkih Gartnerja bo več kot 85 % organizacij do leta 2025 delovalo kot prvo v oblaku in ne bodo mogle v celoti uresničiti svojih digitalnih strategij brez uporabe tehnologij, ki izvirajo iz oblaka. Vodja Gartnerja je to izrazil takole: "Brez strategije v oblaku ni poslovne strategije."

Nujno je, da poslovni voditelji sledijo strategijam za zaščito svojih podatkov in sporočajo svoje prednostne naloge v več oblakih, pri čemer se v celotni organizaciji usklajujejo s skupnim jezikom vrednot.