Kto jest teraz odpowiedzialny za bezpieczeństwo w chmurze?

Korzystanie z usług chmurowych w wielu okolicznościach zyskuje wsparcie zarządzania. Jednak w działach IT brakuje optymistycznego podejścia. Raport Ponemon sponsorowany przez Lumension 2014 State of Endpoint Risk sugeruje, że zastosowanie przetwarzania w chmurze, niezależnie od tego, czy jest ono wspierane przez firmę, czy kierowane przez pracowników, zwiększyło niepokój wśród respondentów ankiety - 19 001 specjalistów IT w Stanach Zjednoczonych. Poniższy slajd pokazuje, że 44 procent respondentów (wzrost o 16 procent w latach 2012–2013) wskazało, że głównym problemem są zasoby w chmurze. Personel IT przytoczył liczne obawy dotyczące przetwarzania w chmurze.

Źródło: Raport o stanie ryzyka punktu końcowego z 2014 r

Kto jest odpowiedzialny za dane w chmurze?

Raport Ponemona odzwierciedlał wiele z tego, co mówili eksperci od bezpieczeństwa w ciągu ostatnich kilku lat. Co mnie ciekawi, kto jest odpowiedzialny? Kto ponosi winę, jeśli coś dzieje się z danymi firmy, gdy są one w chmurze? Można się spodziewać wszelkiego rodzaju wzmianek na ten temat, ale nie ma. Drobne dyskusje na temat odpowiedzialności zaczęły pojawiać się dwa lub trzy lata temu. Jednak „uwaga kupującego” była jedynym wyciągniętym faktem.

Przy rosnącym niepokoju personelu IT dobrym pomysłem może być sprawdzenie, czy coś się zmieniło w dziale odpowiedzialności. W 2012 roku przeprowadziłem wywiady z kilkoma członkami kierownictwa na poziomie C. Podczas wywiadów zapytałem, kto według nich jest odpowiedzialny za zabezpieczenie danych firmy mieszkającej w chmurze. Każdy dyrektor uważał, że bezpieczeństwo danych nie jest już ich problemem, gdy dane znajdują się na serwerach innych osób.

Artykuł Businessweek 2012, kto jest odpowiedzialny za ochronę danych w chmurze? Sarah Frier potwierdził moją nienaukową ankietę. W artykule Frier zacytował Mario Santana z Verizon Communication, który powiedział: „Niektóre firmy błędnie zakładają, że kiedy zdecydują się przechowywać dane na zewnętrznych serwerach, nie będą musieli się martwić o ochronę tych informacji”.

Na podstawie ustaleń Ponemon i Businessweek w 2012 r. Ujawniło się rozdźwięk między osobami zarządzającymi na poziomie C a działami IT. Dwa lata do przodu i to, co liderzy biznesu i specjaliści IT mówią o bezpieczeństwie i kto jest odpowiedzialny za dane firmy powierzone dostawcy usług w chmurze, zmienił się.

Co się różni w 2014 roku?

W kwietniu 2014 r. Ponemon Institute opublikował trzecie coroczne badanie Trends in Cloud Encryption Study sponsorowane przez Thales e-Security. W ankiecie Ponemona zapytano 4275 menedżerów biznesowych i IT w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Francji, Australii, Japonii, Brazylii i Rosji. Głównym celem ankiety było zbadanie, w jaki sposób organizacje chronią swoje dane, gdy są one przekazywane dostawcom usług w chmurze.

Badacze Ponemon zadali uczestnikom dwa pytania, które są ważne w tej dyskusji:

• Jaki procent organizacji przekazuje poufne lub poufne dane do zewnętrznych usług w chmurze?
• Kto jest najbardziej odpowiedzialny za ochronę wrażliwych lub poufnych danych przekazywanych do dostawcy usług w chmurze?

Najpierw przyjrzyjmy się, jaki procent organizacji wysyła poufne i poufne dane do dostawców usług w chmurze. Slajd poniżej pokazuje, że w roku badania 2013 roku 53 procent ankietowanych przesyłało poufne dane do chmury, 36 procent zrobi to w ciągu dwóch lat, a 11 procent nie będzie korzystało z usług chmurowych. Co ciekawe, wyniki z ostatnich trzech lat pozostały podobne.

Źródło: Trends In Cloud Encryption

Następnie, za rok badania 2013, kto był najbardziej odpowiedzialny za ochronę wrażliwych lub poufnych danych przekazywanych dostawcy usług w chmurze? To zależy. Uczestnicy badania stwierdzili, że odpowiedzialność zależy od rodzaju świadczonej usługi w chmurze - SaaS lub IaaS / PaaS. Slajd poniżej przedstawia opinie respondentów na temat tego, kto był odpowiedzialny, gdy firma korzystała ze środowiska SaaS. W 2013 r. 54% uznało dostawcę chmury za odpowiedzialne za bezpieczeństwo, a 24% za użytkowników usług w chmurze za odpowiedzialne, a 19% uważa, że ​​odpowiedzialność powinna być dzielona. (Dowiedz się więcej w Wybieranie między IaaS a PaaS: Co musisz wiedzieć.)

Źródło: Trends In Cloud Encryption

Następny slajd przedstawia opinię respondenta na temat tego, kto był odpowiedzialny, gdy firma korzysta ze środowiska IaaS / PaaS. W 2013 r. 47% uznało bezpieczeństwo za wspólną odpowiedzialność, 26% uznało użytkowników usług w chmurze za odpowiedzialnych, a 22% uważa, że ​​jest to odpowiedzialność dostawcy usług w chmurze.

Źródło: Trends In Cloud Encryption

Dolna linia? Rzeczy się zmieniły. Wygląda na to, że postawa „kupujący strzeże się” dojrzewa wraz z produktami w chmurze. Ale, jak powiedział mi prawnik z Internetu, obowiązki są określone w umowach, nic więcej lub nic mniej. To coś, o czym powinni pamiętać wszyscy zaangażowani w usługi chmurowe.