Empresas
estão em conflito ao mover seus dados para a nuvem. Alguns afirmam que um dos
Os principais motivos para mover dados para a nuvem são porque são mais seguros.
Simultaneamente, uma das principais razões para não
A transferência de dados para a nuvem deve-se a preocupações com a segurança. Qual opinião é
certo? A resposta não é tão simples.
Os mais
Os profissionais de TI aceitam que muitos recursos de segurança na nuvem são melhores do que
abordagens locais, mas esse não é o cenário completo. Segurança é talvez
a faceta mais importante de um provedor de nuvem corporativa, pois um incidente poderia
levar a uma perda catastrófica de negócios. Portanto, eles gastam muito tempo
e dinheiro protegendo sua própria infraestrutura, incluindo data centers, servidores
hardware e conectividade com a Internet. No entanto, a imagem é mais sutil do que
naquela. Os provedores de nuvem não têm 100% do conhecimento ou dos recursos sob
seu controle e, portanto, não pode oferecer 100% de segurança.
O resultante
ambiguidade leva muitas empresas a justapor pensamentos e abordagens quando
trata de segurança na nuvem. A grande maioria das empresas reconhece a nuvem como
uma ferramenta de negócios poderosa, mas ao mesmo tempo ainda expressa reservas devido
aos riscos percebidos associados à colocação de dados em uma nuvem pública sem
a segurança desses dados garantida. As empresas precisam olhar mais profundamente para
discernir brechas de segurança e determinar como a responsabilidade é compartilhada quando os dados
viaja para a nuvem, na nuvem, entre nuvens e da nuvem.
Não
uma organização ou pessoa pode ter total responsabilidade por manter os dados
seguro, a realidade é que a segurança é uma "responsabilidade compartilhada" - onde
organizações, usuários, profissionais de segurança de TI e provedores de serviços em nuvem
todos têm uma tarefa conjunta para garantir que todas as partes estejam usando a nuvem com segurança. Quando
Se esse modelo for implementado corretamente, os benefícios para as organizações incluem
aumento da confiança do cliente, redução de riscos, reputação positiva da marca e
sucesso comercial na economia digital de hoje.
Dedos pontudos e propriedade incerta
Optimal
A segurança na nuvem requer uma defesa em camadas, na qual as empresas lidam com cada parte do
a “pilha de responsabilidades” individualmente, mas todos eles interagem juntos como um
estrutura completa. Isso inclui segurança física, infraestrutura, rede
controle, controles no nível do aplicativo, gerenciamento de identidade e acesso, terminal
proteção, classificação de dados, usuário / dispositivo / controle de dados e colaboração
ao controle. É muito e pode ser assustador para qualquer equipe de TI, grande ou
pequeno.
Na nuvem
provedores de serviços oferecem alguma proteção de segurança, mas isso não significa que
dados da nuvem corporativa são totalmente seguros. Principais fornecedores de nuvem como Microsoft,
Amazon e Google apontam corretamente que a responsabilidade não é deles
sozinho e que as empresas devem adotar o conceito de responsabilidade compartilhada
modelo. Microsoft, por exemplo,
publica seu modelo para o Azure. Amazon tem um
semelhante abordagem para a AWS. Ambos estes
Os modelos apontam que uma infraestrutura segura depende do cliente que está jogando
sua parte para tornar o sistema verdadeiramente seguro e compatível.
A
comunidade analista percebe essa necessidade crescente e está soando alarmes sobre
a importância da responsabilidade compartilhada na segurança da nuvem. O Gartner alerta: "Até 2025, pelo menos 99% da segurança da nuvem
falhas serão culpa do cliente. ”A declaração do Gartner implica
que as próprias empresas, e não os provedores de nuvem, precisam garantir que seus
A abordagem à segurança na nuvem é abrangente.
Na nuvem
Os fornecedores frequentemente abordaram a responsabilidade compartilhada listando as
recursos que eles oferecem e deixando o resto para o cliente, dividindo
responsabilidade em dois. Embora essa divisão seja um bom começo, ela pode deixar o
empresa incerta sobre como decidir, alocar e implementar as áreas
atribuído a eles. Agora é imperativo atribuir funções dentro da organização
e determinar a responsabilidade pertencente a várias linhas de negócios, incluindo mas não
limitado a segurança de TI, risco e conformidade, usuários, desenvolvedores e compradores de
os serviços em nuvem.
Responsabilidade compartilhada em ação
O carro
processo de locação pode ilustrar melhor um exemplo ideal de responsabilidade compartilhada
modelo. Primeiro, o fabricante é responsável por garantir a viabilidade do carro
quando sai da linha de montagem. Precisa ter bons freios, pneus e
airbags em funcionamento. Depois que o carro chega a uma locadora, os dois
empresa e o locatário normalmente não testam os airbags - eles apenas assumem
eles funcionarão como originalmente instalados. À medida que o carro envelhece, o aluguel
A empresa deve verificar os pneus e os freios, fazer manutenção no carro e mantê-lo
em serviço. O locatário assume que este é o caso e, infelizmente, muitas vezes
não descubra o contrário, a menos que eles tenham problemas com o veículo.
On
do lado do locatário, eles precisam ter a licença apropriada para o veículo, que
a locadora verifica antes de entregar as chaves. O locatário é
responsável por danos acidentais, embora este possa não ser o driver real
quando vários drivers estão compartilhando a direção. O carro inclui cintos de segurança,
instalado pelo fabricante, mas é de responsabilidade do motorista usar suas
cinto e garantir que todos os membros do carro também os usem. Além disso, o
o motorista é responsável por dirigir de acordo com as condições e as regras da estrada.
Essa divisão de responsabilidade ao alugar um carro é compartilhada entre cinco grupos
de pessoas: fabricante de automóveis, locadora, passageiros, locatário
e o motorista. Todo mundo tem seu papel a desempenhar. Ignorar uma camada de segurança pode
ter conseqüências trágicas; portanto, todos os aspectos precisam ser considerados na totalidade.
Onde o risco está finalmente
Microsoft,
A Amazon e outros fornecedores de nuvem estão trabalhando para oferecer responsabilidade compartilhada
modelos em nível de linha de base, mas é preciso haver mais responsabilidade do
comunidade de usuários finais. Isso inclui a própria empresa, informações e TI
equipes de segurança e os usuários. Os líderes de negócios e de TI podem proteger apenas a nuvem
dados se os recursos de segurança forem bem compreendidos, ativados e adequadamente
configurado desde o início. Vimos esse problema sair especificamente com uma recente
violação de alto perfil causada por regras mal configuradas da AWS para serviços públicos
servidores, levando a uma grande vulnerabilidade e violação de dados.
No geral,
a comunidade de tecnologia precisa considerar quem controla e gerencia a nuvem
configurações, fluxo de dados entre diferentes serviços em nuvem, colaboração,
acesso, controles de dispositivos e comportamento do usuário. A conclusão é que a responsabilidade
O risco pertence ao negócio porque, em sua essência, a coleta de dados e
a segurança pertence ao negócio. Embora os provedores de nuvem tenham um grande papel,
eles não são a empresa pública que assume o risco de lidar com isso
dados sensíveis. Os membros da equipe de TI precisam ser os guardiões da segurança e
conformidade para a empresa. Eles precisam trabalhar com o CISO e outros
líderes de negócios para entender e definir políticas de controle de dados, trabalhar com linhas
dos negócios para ajudá-los a classificar os dados com precisão, garantir conformidade regulamentar,
ajudar a equipe de compras a tomar decisões de compra, determinar quais serviços em nuvem
para permitir o acesso do usuário e garantir que o treinamento do usuário seja abrangente.
Sem
processos rigorosos em vigor e uma definição de quem é responsável pelo quê, um
decisão de negócios, como implementar um novo serviço de nuvem pública, pode
empresa em risco grave de violação de dados ou outros problemas de segurança relacionados.
Mas com o modelo de responsabilidade compartilhada, as empresas podem garantir que todos
faz a parte deles.
Nigel Hawthorn, diretor da EMEA, unidade de negócios em nuvem
