การลดความเสี่ยงและการสื่อสารคุณค่าในสภาพแวดล้อมแบบมัลติคลาวด์

องค์กรจำนวนมากกำลังใช้วิธีมัลติคลาวด์ซึ่งเป็นส่วนหนึ่งของความพยายามในการเปลี่ยนแปลงทางดิจิทัลเพื่อสนับสนุนทีมแบบกระจายที่ทำงานในรูปแบบไฮบริดและรีโมต และเช่นเดียวกับที่สภาพแวดล้อมการทำงานแบบไฮบริดจะคงอยู่ต่อไป วิธีการแบบมัลติคลาวด์ก็เข้ามาแทนที่ Gartner คาดการณ์ว่ารายได้จากคลาวด์ทั่วโลกจะสูงถึง $ พันล้านดอลลาร์ใน 474 2022มี 90% ของ บริษัท มุ่งสู่กลยุทธ์มัลติคลาวด์แล้ว

เมื่อใช้ประโยชน์อย่างถูกต้อง กลยุทธ์มัลติคลาวด์จะทำให้กระบวนการต่างๆ มีประสิทธิภาพมากขึ้น นอกจากนี้ยังมอบความยืดหยุ่นที่เหนือกว่าให้กับการหยุดทำงานและความยืดหยุ่นของผู้ขายมากกว่ากลยุทธ์แบบคลาวด์เดียว ข้อดีเพิ่มเติม ได้แก่ :

• หลีกเลี่ยงการล็อคอินผู้ขายกับผู้ให้บริการคลาวด์รายเดียว องค์กรที่มีรอยเท้าทั่วโลกและข้อมูลเฉพาะทางสามารถเลือกตำแหน่งของศูนย์ข้อมูลที่มีผลกระทบน้อยที่สุดต่อธุรกิจ ตัวอย่างเช่น ปัจจุบัน Microsoft Azure เป็นผู้นำในตะวันออกกลางจากมุมมองตำแหน่งที่ตั้งของศูนย์ข้อมูล
• ความสามารถในการใช้ประโยชน์จากคุณสมบัติเด่นที่นำเสนอโดยผู้จำหน่ายระบบคลาวด์แต่ละราย เช่น โซลูชันฐานข้อมูลเฉพาะใน Google Cloud หรือความสามารถในการจัดการทรัพยากรภายในองค์กรและบนคลาวด์ได้อย่างราบรื่นยิ่งขึ้นใน Microsoft Azure
• ค่าใช้จ่ายที่ดีขึ้นและความยืดหยุ่นทางธุรกิจด้วยบริการเฉพาะที่มีราคาถูกกว่าผ่านผู้จำหน่ายเฉพาะและป้องกันการหยุดชะงักของบริการ ทั้งสองอย่างนี้จำเป็นต้องออกแบบบริการของคุณเพื่อใช้ประโยชน์จากผลประโยชน์ แต่เมื่อจัดตั้งขึ้นแล้ว องค์กรของคุณสามารถคืนทุนภายในเวลาสองถึงสามปี ซึ่งส่งผลให้ประหยัดค่าใช้จ่ายในระยะยาว

อย่างไรก็ตาม ข้อได้เปรียบเหล่านี้มาพร้อมกับค่าใช้จ่าย อาจเป็นเรื่องยากที่จะตรวจสอบให้แน่ใจว่าข้อมูลและโครงสร้างพื้นฐานระบบคลาวด์มีความปลอดภัยและสอดคล้องกับภาระหน้าที่และการควบคุมของคุณ เมื่อสภาพแวดล้อมที่แตกต่างกันถูกโฮสต์ผ่านผู้ให้บริการหลายราย การบอกเล่าเรื่องราวที่เป็นหนึ่งเดียวเกี่ยวกับข้อมูล การกำหนดค่า และความปลอดภัยภายในสภาพแวดล้อมเหล่านั้นแทบจะเป็นไปไม่ได้เลย

CISO ที่กำลังยอมรับ วิธีการข้อมูลแบบมัลติคลาวด์ ต้องมุ่งเน้นไปที่ข้อกังวลด้านความปลอดภัยหลักสองประการ: การจัดการความเสี่ยงที่เกิดจากผู้จำหน่ายและรูปแบบการดำเนินงานบนคลาวด์ที่แตกต่างกัน และแสดงให้เห็นถึงคุณค่าของการควบคุมความปลอดภัยและกลยุทธ์ของพวกเขาเมื่อเผชิญกับต้นทุนที่เพิ่มขึ้นของการดำเนินงานในโลกมัลติคลาวด์

การจัดการความเสี่ยงทั่วทั้งคลาวด์

ผลกระทบและความถี่ของการโจมตีทางไซเบอร์เพิ่มขึ้นควบคู่ไปกับการมุ่งเน้นไปที่กลยุทธ์มัลติคลาวด์ที่เพิ่มขึ้น การโจมตีด้วยแรนซัมแวร์ การละเมิดข้อมูล และการหยุดทำงานของไอทีครั้งใหญ่ บารอมิเตอร์ความเสี่ยงของอลิอันซ์ ปีนี้เป็นเพียงครั้งที่สองในประวัติศาสตร์การสำรวจ โดยผู้บริหารจัดอันดับให้พวกเขาน่าเป็นห่วงมากกว่าการหยุดชะงักของห่วงโซ่อุปทาน ภัยธรรมชาติ และโรคระบาด บริษัทมีสิทธิ์แสดงความกังวล: องค์กรทั่วโลกมีประสบการณ์ การโจมตีทางไซเบอร์เพิ่มขึ้น 50% ต่อสัปดาห์ ในปี 2021 เทียบกับปี 2020

ผู้นำทางธุรกิจกำลังจับจ้องถึงความสำคัญของการโจมตีทางไซเบอร์ แต่ส่วนใหญ่ไม่ได้รับข้อมูลเกี่ยวกับความเสี่ยงที่เกิดจากคู่ค้าของตน ใน PwC's “แบบสำรวจ Global Digital Trust Insights ประจำปี 2022” 57% ของผู้นำธุรกิจกล่าวว่าพวกเขาคาดการณ์ว่าการโจมตีบริการคลาวด์จะเพิ่มขึ้นอย่างรวดเร็ว แต่มีเพียง 37% เท่านั้นที่กล่าวว่าพวกเขาเข้าใจถึงความเสี่ยงของคลาวด์ แนวทางและรูปแบบการดำเนินงานของการรักษาความปลอดภัยแตกต่างกันไปตามผู้ให้บริการระบบคลาวด์ และการป้องกันความเสี่ยงเป็นความรับผิดชอบร่วมกันที่จะซับซ้อนมากขึ้นเมื่อคุณเพิ่มบริการคลาวด์ทั่วไปที่ใช้วิธีการต่างๆ เช่น การจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) หรือเซิร์ฟเวอร์เสมือนจริง

ตัวอย่างเช่น ผู้ให้บริการคลาวด์รายต่างๆ มีแนวทางของตนเองในการเข้าถึงตามบทบาท Amazon Web Services จัดการข้อมูลประจำตัวโดยแนบนโยบาย IAM โดยตรงไปยังเซิร์ฟเวอร์เสมือน ซึ่งให้สิทธิ์เซิร์ฟเวอร์ในการดำเนินการ ในทางกลับกัน ข้อเสนอของ Google Cloud มุ่งเน้นไปที่การสร้างบัญชีบริการ (ผู้ใช้) แล้วแนบบัญชีเหล่านั้นเข้ากับเซิร์ฟเวอร์เพื่อให้สามารถโต้ตอบกับทรัพยากรอื่นได้ ความแตกต่างเล็กๆ น้อยๆ เหล่านี้เพิ่มขึ้นในระดับองค์กร ทำให้เกิดความซับซ้อนด้านความปลอดภัยเพื่อให้มั่นใจว่ามีสิทธิ์น้อยที่สุดและข้อกำหนดด้านความปลอดภัยอื่นๆ ทั่วทั้งคลาวด์ทั้งสอง

เนื่องจากบริการคลาวด์ไม่ได้ออกแบบมาเพื่อผสานรวมกับคู่แข่ง การเรียนรู้วิธีใช้เครื่องมือรักษาความปลอดภัยสำหรับผู้ให้บริการคลาวด์แต่ละรายจึงเป็นเพียงจุดเริ่มต้น ทีมไอทีจะต้องรวมศูนย์การตรวจสอบความปลอดภัยด้วยเครื่องมือการจัดการเหตุการณ์ข้อมูลความปลอดภัย (SIEM) พร้อมกับเครื่องมือของบุคคลที่สามอื่นๆ เพื่อเพิ่มความสามารถในการทำงานร่วมกันของบริการคลาวด์ ระบบที่เพิ่มเข้ามาเหล่านี้ต้องการการฝึกอบรมและทรัพยากรเพิ่มเติม และอาจต้องใช้เจ้าหน้าที่ไอทีเพิ่มเติมเพื่อให้มั่นใจว่ามีความเชี่ยวชาญในแต่ละแพลตฟอร์มระบบคลาวด์ และ แพลตฟอร์มเหล่านั้นทำงานร่วมกันอย่างไร

นอกเหนือจากความแตกต่างที่สร้างขึ้นระหว่างบริการเหล่านี้แล้ว ผู้ให้บริการระบบคลาวด์ส่วนใหญ่ยังให้ความสำคัญกับข้อเสนอด้านความปลอดภัยที่ปรับแต่งมาโดยเฉพาะอีกด้วย สิ่งนี้ทำให้เกิดความยุ่งยากมากมายที่ส่งผลต่อความปลอดภัยของระบบคลาวด์ ตัวอย่างหนึ่ง สามารถใช้ไฟร์วอลล์สำหรับเว็บแอปพลิเคชันบนคลาวด์ (WAF) เพื่อปกป้องเครือข่ายของคุณ แต่จะใช้งานได้กับผู้ให้บริการคลาวด์เฉพาะรายเท่านั้น และไม่สามารถขยายไปยังบริการคลาวด์หลายตัวได้ การทำสำเนาฟังก์ชันเหล่านี้สำหรับผู้ให้บริการรายต่างๆ จำเป็นต้องมีทีมที่ทำซ้ำเพื่อสนับสนุนและจัดการเครื่องมือรักษาความปลอดภัยที่สำคัญเหล่านี้ หรือซื้อบริการที่ไม่เชื่อเรื่องพระเจ้าบนคลาวด์ ซึ่งเพิ่มผู้ให้บริการรายอื่นเข้ามาผสมผสาน

ความเสี่ยงและค่าใช้จ่ายเพิ่มเติมนี้ ซึ่งโดยปกติแล้วจะไม่พบจนกว่าจะมีการปรับใช้โมเดลมัลติคลาวด์ในช่วงปลาย อาจทำให้ไทม์ไลน์เพิ่มขึ้น เพิ่มต้นทุน และทริกเกอร์การค้นพบการตรวจสอบ ความล้มเหลวในการวางแผนและลดความเสี่ยงเหล่านี้อาจทำให้บริษัทอ่อนไหวต่อการสูญเสียทางการเงิน การดำเนินการทางกฎหมาย การฟ้องร้อง และความเสียหายต่อชื่อเสียง

การสื่อสารคุณค่าด้วยปริมาณความเสี่ยง

การ์ทเนอร์คาดการณ์ว่าภายในปี 2023 30% ของประสิทธิผลของ CISO จะขึ้นอยู่กับความสามารถในการแสดงคุณค่า เนื่องจากกลยุทธ์ข้อมูลแบบมัลติคลาวด์กลายเป็นบรรทัดฐานและต้นทุนของการควบคุมความปลอดภัยภายในกลยุทธ์นั้นเพิ่มขึ้น การวัดปริมาณความเสี่ยงสามารถช่วยผู้นำในการสื่อสารคุณค่าของพวกเขาอย่างสม่ำเสมอโดยแสดงท่าทางความเสี่ยงแบบมัลติคลาวด์เป็นมูลค่าทางการเงินที่ชัดเจน

จากข้อมูลของ PwC องค์กรที่รายงานการปรับปรุงที่สำคัญที่สุดในผลลัพธ์ด้านความน่าเชื่อถือของข้อมูลมีสองสิ่งที่เหมือนกัน: พวกเขาคาดการณ์ว่าการใช้จ่ายด้านความปลอดภัยทางไซเบอร์จะเพิ่มขึ้น และพวกเขาได้รวมระบบข่าวกรองธุรกิจและการวิเคราะห์ข้อมูลเข้ากับโมเดลการดำเนินงานของพวกเขา รวมถึงการวัดความเสี่ยง

ในการประเมินความเสี่ยงทางการเงินของกลยุทธ์มัลติคลาวด์ CISO ต้องคำนึงถึงต้นทุนของแต่ละแพลตฟอร์มโดยเทียบกับความเสี่ยงที่รับรู้ การพิจารณาเหล่านั้นต้องรวมถึงการจัดการข้อมูลและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของผู้ให้บริการคลาวด์ทั้งหมดที่คุณกำลังพิจารณา พร้อมด้วยเครื่องมือและแพลตฟอร์มที่ไม่เชื่อเรื่องพระเจ้าบนคลาวด์ที่คุณจะใช้สำหรับการตรวจสอบร่วมกัน

ด้วยปัจจัยหลายอย่างที่เกิดขึ้น คุณจึงไม่สามารถพึ่งพาสเกลวัดที่ไม่แม่นยำและรู้สึกได้ เช่น "ต่ำ กลาง สูง" และ "แดง เหลือง เขียว" การแสดงข้อมูลความเสี่ยงในเงื่อนไขทางการเงินเป็นเครื่องมือที่มีประสิทธิภาพเนื่องจากนำเสนอภาษากลางในการสื่อสารลำดับความสำคัญของความเสี่ยงที่เปลี่ยนแปลง ปรับปรุงการจัดตำแหน่งระหว่าง CISO และคณะกรรมการ และอำนวยความสะดวกในการตัดสินใจด้านการจัดการความเสี่ยงที่มีข้อมูลดียิ่งขึ้น

ตัวอย่าง: CISO กำลังดูมูลค่าทางการเงินที่เกี่ยวข้องกับความเสี่ยงต่างๆ ของสถาปัตยกรรมมัลติคลาวด์ เมื่อเปรียบเทียบกลยุทธ์ในการบรรเทาเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ พวกเขาพบว่าการควบคุมสิทธิ์ของผู้ดูแลระบบที่ดีกว่าช่วยลดต้นทุนทางการเงินของเหตุการณ์ได้มากกว่าการใช้โปรแกรมการฝึกอบรมด้านความปลอดภัยทางอินเทอร์เน็ต ในขณะที่ CISO เข้าใจรายละเอียดทางเทคนิคของความเสี่ยงทางไซเบอร์ภายในสถาปัตยกรรมมัลติคลาวด์ C-suite ที่เหลือจะได้รับประโยชน์จากความชัดเจนของมูลค่าทางการเงินที่เกี่ยวข้องกับความเสี่ยงแต่ละอย่างและกลยุทธ์ในการลดความเสี่ยง ด้วยการให้อำนาจแก่ CISO ในการเสนอเรื่องต่อเพื่อนร่วมงานและคณะกรรมการของพวกเขา การวัดปริมาณความเสี่ยงจะเพิ่มความโปร่งใสให้กับส่วนที่เคลื่อนไหวจำนวนมากของกลยุทธ์มัลติคลาวด์

จากข้อมูลของ Gartner องค์กรมากกว่า 85% จะทำงานแบบใช้ระบบคลาวด์เป็นอันดับแรกภายในปี 2025 และพวกเขาจะไม่สามารถบรรลุกลยุทธ์ดิจิทัลได้อย่างเต็มที่หากไม่ใช้เทคโนโลยีแบบเนทีฟบนคลาวด์ ผู้นำ Gartner กล่าวไว้ดังนี้: “ไม่มีกลยุทธ์ทางธุรกิจใดที่ไม่มีกลยุทธ์คลาวด์”

จำเป็นอย่างยิ่งที่ผู้นำธุรกิจจะต้องดำเนินกลยุทธ์เพื่อปกป้องข้อมูลของตนและสื่อสารลำดับความสำคัญของมัลติคลาวด์ โดยปรับให้สอดคล้องทั่วทั้งองค์กรด้วยภาษาที่มีคุณค่าร่วมกัน