Хто зараз відповідає за безпеку хмари?

Використання хмарних сервісів у багатьох обставинах отримує підтримку управління. Однак цього оптимістичного ставлення відсутнє в відділах ІТ. Доповідь Ponemon, що фінансується Lumension, за 2014 рік, призначає, що використання хмарних обчислень, незалежно від того, чи підтримуються вони компанією, чи керуються працівниками, збільшило гнів серед респондентів опитування - 19 001 ІТ-практиків у Сполучених Штатах. Нижній слайд показує, що 44 відсотки респондентів (на 16 відсотків збільшилось з 2012 по 2013 рік) визначили використання ресурсів хмарних обчислень як основну проблему. ІТ-персонал висловив численні проблеми, пов'язані з хмарними обчисленнями.

Джерело: Звіт про ризик кінцевої точки за 2014 рік

Хто відповідає за дані у хмарі?

У доповіді "Понемона" відображено багато того, про що говорять експерти в галузі безпеки протягом останніх кількох років. Мені цікаво, хто несе відповідальність? Хто винен, якщо щось трапляється з даними компанії, коли вони перебувають у хмарі? Можна очікувати всіляких згадок про це, але цього немає. Невеликі дискусії про відповідальність почалися ще два-три роки тому. Однак єдиним реальним висновком було зроблено "остерігайтеся покупця".

При збільшенні стурбованості працівників ІТ-служб може бути хорошою ідеєю перевірити, чи змінилося щось у відділі відповідальності. Ще в 2012 році я взяв інтерв'ю у кількох керівників рівня C. Під час інтерв'ю я запитав, хто їх вважає відповідальним за безпеку даних хмарних компаній. Кожен керівник вважав, що безпека даних більше не викликає занепокоєння, коли дані з’являються на чужих серверах.

Стаття про Businessweek 2012 р. Хто несе відповідальність за захист даних у хмарі? Sarah Frier підтвердила моє ненаукове опитування. У статті Фрієр цитував Маріо Сантану від Verizon Communication, який сказав: "Деякі компанії помилково припускають, що коли вони вирішили зберігати дані на зовнішніх серверах, їм більше не доведеться піклуватися про збереження цієї інформації".

На основі висновків Ponemon та Businessweek, розрив між керівниками рівня C та ІТ-відділами у 2012 році став очевидним. Швидкий перехід на два роки і те, що керівники бізнесу та ІТ-практики говорять про безпеку та хто несе відповідальність за дані компанії, довірені хмарному постачальнику послуг, змінилося.

Що відрізняється в 2014 році?

У квітні 2014 р. Інститут Понемона випустив своє третє щорічне Тенденція дослідження хмарного шифрування за підтримки електронної безпеки Thales. Опитування Ponemon запитувало 4275 менеджерів із бізнесу та ІТ у США, Великобританії, Німеччині, Франції, Австралії, Японії, Бразилії та Росії. Основна мета опитування була вивчити, як організації захищають свої дані, коли вони надаються постачальникам хмарних послуг.

Дослідники Понемону задали учасникам два питання, важливі для цієї дискусії:

• Який відсоток організацій передає конфіденційні та конфіденційні дані зовнішнім хмарним службам?
• Хто відповідає за захист конфіденційних або конфіденційних даних, переданих хмарному постачальнику послуг?

Спочатку розглянемо, який відсоток організацій надсилає конфіденційні та конфіденційні дані постачальникам хмарних послуг. На слайді нижче показано, що за 2013 рік опитування 53 відсотки опитаних передавали в хмару чутливі дані, 36 відсотків будуть робити це протягом двох років, а 11 відсотків не користуються постачальниками хмарних послуг. Цікавим є те, що результати за останні три роки залишилися схожими.

Джерело: Тенденції хмарного шифрування

Далі, за 2013 рік опитування, хто відповідав за захист конфіденційних та конфіденційних даних, переданих хмарному постачальнику послуг? Це залежить. Учасники опитування заявили, що відповідальність залежить від типу наданої хмарної послуги - SaaS або IaaS / PaaS. На слайді нижче зображено думки респондентів щодо того, хто відповідав, коли компанія використовувала середовище SaaS. У 2013 році 54 відсотки вважали, що постачальник хмарних послуг відповідає за безпеку, а 24 відсотки вважають користувачів хмарних служб відповідальними, а 19 відсотків вважають, що відповідальність слід розділити. (Дізнайтеся більше про вибір між IaaS та PaaS: що потрібно знати.)

Джерело: Тенденції хмарного шифрування

На наступному слайді зображено думку респондента щодо того, хто відповідав, коли компанія використовує середовище IaaS / PaaS. У 2013 році 47 відсотків розглядали безпеку як спільну відповідальність, 26 відсотків вважають користувачів хмарних послуг відповідальними, а 22 відсотки вважають, що це відповідальність постачальника хмарних послуг.

Джерело: Тенденції хмарного шифрування

Суть? Все змінилося. Схоже, що ставлення до "покупця остерігайтеся" визріло поряд із продуктами хмарного обслуговування. Але, як сказав мені адвокат, захищений від Інтернету, відповідальність визначається контрактами, нічого більш-менш. Це щось для всіх, хто бере участь у хмарних службах.