Кой е отговорен за сигурността в облака сега?

Използването на облачни услуги при много обстоятелства печели подкрепа от управлението. Това оптимистично отношение обаче липсва в IT отделите. Докладът на Ponemon, спонсориран от Lumension, за 2014 г., състоянието на Endpoint Risk предполага използването на облачни изчисления, независимо дали са подкрепени от компания или се ръководят от служители, повиши яростта сред респондентите в проучването - 19 001 ИТ практикуващи в Съединените щати. Слайдът по-долу показва, че 44 процента от анкетираните (16 процента увеличение от 2012 г. до 2013 г.) идентифицират използването на облачни изчислителни ресурси като основен проблем. ИТ персоналът изрази множество опасения относно облачните компютри.

Източник: Доклад за риска от крайната точка за 2014 г.

Кой е отговорен за данните в облака?

Докладът на Ponemon отразява много от това, което говорят специалистите по сигурността през последните няколко години. Любопитно ли е кой е отговорен? Кой е виновен, ако нещо се случи с данните на компанията, когато е в облака? Човек може да очаква всякакви споменавания за това, но няма. Незначителните дискусии относно отговорността започнаха преди две или три години. Въпреки това „пазете се от купувача“ беше единственият изводен реален извод.

С увеличаването на загрижеността на ИТ персонала, може би е добре да разберете дали нещо се е променило в отдела за отговорност. През 2012 г. интервюирах няколко ръководители на ниво С. По време на интервютата попитах кой смята, че е отговорен за осигуряването на данни от резидентни облачни компании. Всяка изпълнителна власт вярваше, че сигурността на данните вече не е тяхна грижа, след като данните бяха на чужди сървъри.

Статията за Businessweek от 2012 г. Кой е отговорен за защитата на данните в облака? от Сара Фриер потвърди моята ненаучна анкета. В статията Frier цитира Марио Сантана от Verizon Communication, който казва: „Някои фирми погрешно приемат, че след като изберат да съхраняват данни на външни сървъри, вече не се налага да се грижат за запазването на тази информация.“

Въз основа на констатациите на Ponemon и Businessweek прекъсването между ръководителите на ниво C и ИТ отделите през 2012 г. стана очевидно. Бързо напред две години и това, което бизнес лидерите и ИТ практиците казват за сигурността и кой е отговорен за фирмените данни, поверени на доставчик на облачни услуги, се е променило.

Какво се различава през 2014 г.?

През април 2014 г. Институтът Понемон пусна третото си годишно Тенденция в изследването за облачно шифроване, спонсорирано от електронната сигурност на Thales. Проучването на Ponemon попита 4, 275 мениджъри на бизнес и ИТ в САЩ, Великобритания, Германия, Франция, Австралия, Япония, Бразилия и Русия. Основната цел на проучването беше да проучи как организациите защитават своите данни, когато се предоставят на доставчици на облачни услуги.

Изследователите на Ponemon зададоха на участниците два въпроса, които са важни за тази дискусия:

• Какъв процент от организациите прехвърлят чувствителни или поверителни данни към външни услуги в облака?
• Кой е най-отговорен за защитата на чувствителни или поверителни данни, прехвърлени на облачен доставчик на услуги?

Първо, нека да разгледаме какъв процент от организациите изпращат чувствителни и поверителни данни на доставчици на облачни услуги. Слайдът по-долу показва, че за проучвателната 2013 г. 53 процента от анкетираните са прехвърляли чувствителни данни в облака, 36 процента ще го направят в рамките на две години, а 11 процента не използват доставчици на облачни услуги. Интересното е, че резултатите за последните три години останаха сходни.

Източник: Тенденции в облачното шифроване

На следващо място, за годината на проучването 2013 г., кой беше най-отговорен за защитата на чувствителни или поверителни данни, прехвърлени на облачен доставчик на услуги? Зависи. Участниците в проучването заявиха, че отговорността зависи от вида на предоставяната облачна услуга - SaaS или IaaS / PaaS. Слайдът по-долу изобразява мненията на респондентите кой е отговорен, когато дадена компания е използвала SaaS среда. През 2013 г. 54 процента разглеждат доставчика на облак като отговорен за сигурността, а 24 процента разглеждат потребителите на облачни услуги като отговорни, докато 19 процента смятат, че отговорността трябва да бъде споделена. (Научете повече в избора между IaaS и PaaS: Какво трябва да знаете.)

Източник: Тенденции в облачното шифроване

Следващият слайд представя мнението на респондента кой е отговорен, когато дадена компания използва IaaS / PaaS среда. През 2013 г. 47 процента разглеждат сигурността като споделена отговорност, 26 процента разглеждат потребителите на облачни услуги като отговорни, а 22 процента смятат, че това е отговорност на доставчика на облачни услуги.

Източник: Тенденции в облачното шифроване

Долния ред? Нещата се промениха. Изглежда, че отношението „пази се от купувача“ е узряло точно заедно с продуктите, предлагани в облак. Но както ми каза интернет адвокат, отговорностите се определят от договорите, нищо повече или нищо по-малко. Това е нещо, което всички, които участват в облачните услуги, трябва да имат предвид.