Под покровом облаков: пять неявных проблем облачной безопасности

Облака незаметно вошли в нашу повседневную жизнь. Все больше людей постоянно обращаются к облачным сервисам как дома, так и на работе. Сегодня проще посчитать тех, кто ими не пользуется, чем тех, кто ими пользуется. Если пять лет назад публичным облачным сервисам доверяло 57% профессионалов в области ИТ и кибербезопасности, то теперь эта цифра выросла до 85%. Но не сгущаются ли тучи на горизонте?

Привычность притупляет чувство опасности. Риски, связанные с использованием облаков, никуда не делись. Ежегодно Oracle и KPMG проводят опрос специалистов по ИТ и ИБ из разных стран об использовании публичных облаков и принимаемых мерах безопасности. Выводы из этого исследования приводятся в отчете об облачных угрозах Oracle and KPMG Cloud Threat Report. Как следует из последнего, уровень доверия к облакам высок, однако многие повторяют одни и те же ошибки.  Вот пять основных.

1. Ответственность

Облачные сервисы могут помочь в укреплении информационной безопасности, но они не сделают за вас всю грязную работу. Например, только вы можете проконтролировать, насколько ответственно сотрудники подходят к сохранению в тайне учетных данных (имени и пароля) для доступа к облачным сервисам. Желательно с самого начала разграничить обязанности с вашим поставщиком облачных услуг - за что несете ответственность вы, а о чем должен позаботиться провайдер, чтобы в системе информационной безопасности не осталось пробелов.

2. Обучение

Хакеры, как и обычные люди, стремятся минимизировать свои усилия. Наиболее легкой добычей для них является обычный среднестатистический сотрудник, а излюбленным способом атаки - фишинг: достаточно одному человеку допустить ошибку, и вся компания окажется под угрозой. В этом случае решающее значение имеет обучение сотрудников (а не какой-нибудь навороченный инструмент информационной безопасности).

3. Автоматизация

Своевременное обнаружение облачных угроз и оперативное реагирование на них остается главной проблемой для отделов информационной безопасности. Однако только 14% респондентов, участвовавших в опросе, уверены, что они в состоянии проанализировать всю поступающую информацию о событиях безопасности и все релевантные данные телеметрии. Такое отсутствие должного контроля обычно вызвано тем, что облачные сервисы развертываются быстрее, чем внедряются безопасные операции SecOps. Эту проблему можно решить, только исключив ручные процессы и автоматизировав большинство ответных действий на возникающие угрозы.

4. Соответствие

Соблюдение законодательных и нормативных требований еще не означает, что вам ничто не угрожает. Данные требования касаются преимущественно конфиденциальности, целостности и доступности данных. Однако весьма затруднительно обеспечить их выполнение на практике без участия эксперта, который осуществлял бы общее руководство. Поэтому важно в штате компании иметь такого человека, который видел бы картину в целом - на глобальном уровне, если необходимо, - и был способен выработать наилучший способ реализации актуальных законодательных и нормативных требований в области безопасности.

5. Руководство

Чтобы быстрее получить результат, бизнес-подразделения часто торопятся внедрить облачные сервисы, не удосуживаясь даже уведомить специалистов в области информационной безопасности. Такая поспешность может привести к нарушению основных требований безопасности. Чтобы этого избежать, в компании должен быть ответственный за реализацию облачных проектов. Это позволит командам оперативно внедрять необходимые сервисы и в то же не подвергать риску безопасность компании.