التخفيف من المخاطر ونقل القيمة في البيئات متعددة الأوساط السحابية

تتخذ المزيد من المؤسسات نهجًا متعدد السحابة كجزء من جهود التحول الرقمي لدعم الفرق الموزعة التي تعمل في نماذج هجينة وعن بعد. وكما أن بيئات العمل المختلطة موجودة لتبقى، فقد ترسخ النهج متعدد السحابات. وتتوقع جارتنر أن تصل إيرادات السحابة العالمية 474 مليار $ في 2022، مع 90٪ من الشركات نعمل بالفعل على استراتيجية متعددة السحابات.

عند الاستفادة منها بشكل صحيح، يمكن لاستراتيجية السحابة المتعددة أن تجعل العديد من العمليات أكثر كفاءة. كما أنها توفر مرونة أكبر في مواجهة حالات انقطاع الخدمة ومرونة أكبر للموردين مقارنة باستراتيجية السحابة الواحدة. تشمل المزايا الإضافية ما يلي:

• تجنب حبس البائع مع مزود سحابي واحد. يمكن للمؤسسة ذات البصمة العالمية والبيانات المتخصصة تحديد موقع مركز البيانات بأقل تأثير على أعمالها. على سبيل المثال، تقود Microsoft Azure حاليًا منطقة الشرق الأوسط من منظور موقع مركز البيانات.
• القدرة على الاستفادة من الميزات المميزة التي يقدمها كل مورد سحابي، مثل حلول قواعد البيانات الفريدة في Google Cloud أو القدرة على إدارة مواردك المحلية والموارد السحابية بسلاسة أكبر في Microsoft Azure.
• تكاليف أفضل ومرونة الأعمال، مع خدمات محددة أقل تكلفة من خلال بائع محدد والحماية من انقطاع الخدمة. يتطلب كلاهما تصميم خدماتك للاستفادة من الفوائد، ولكن بمجرد إنشائها، يمكن لمؤسستك استرداد استثماراتها على مدار عامين إلى ثلاثة أعوام، مما يؤدي إلى توفير في التكاليف على المدى الطويل.

ومع ذلك، فإن هذه المزايا تأتي بتكلفة. قد يكون من الصعب التأكد من أن البيانات والبنية الأساسية السحابية آمنة ومتوافقة مع التزاماتك وضوابطك عند استضافة بيئات متباينة من خلال موفري خدمات متعددين. قد يكون من المستحيل تقريبًا سرد قصة موحدة حول البيانات والتكوين والأمان داخل تلك البيئات.

CISOs الذين يحتضنون أ نهج البيانات متعددة السحابة يجب التركيز على اثنين من المخاوف الأمنية الرئيسية: إدارة المخاطر التي يفرضها البائعون ونماذج التشغيل السحابية المختلفة الخاصة بهم، وإظهار قيمة ضوابطهم واستراتيجياتهم الأمنية في مواجهة التكاليف المتزايدة للعمل في عالم متعدد السحابة.

إدارة المخاطر عبر السحابة

لقد نما تأثير الهجمات الإلكترونية وتكرارها بالتوازي مع التركيز المتزايد على الاستراتيجيات متعددة السحابات. تصدرت هجمات برامج الفدية وانتهاكات البيانات والانقطاعات الرئيسية لتكنولوجيا المعلومات قائمة الاهتمامات مقياس مخاطر أليانز هذا العام للمرة الثانية فقط في تاريخ الاستطلاع، حيث صنفها المسؤولون التنفيذيون على أنها أكثر إثارة للقلق من تعطل سلسلة التوريد، والكوارث الطبيعية، والوباء. الشركات محقة في إظهار القلق: لقد شهدت المنظمات في جميع أنحاء العالم ذلك زيادة بنسبة 50% في الهجمات الإلكترونية الأسبوعية عام 2021 مقارنة بعام 2020.

يدرك قادة الأعمال أهمية الهجمات الإلكترونية، لكن معظمهم ليس لديهم معلومات كافية عن المخاطر التي يشكلها شركاؤهم من الموردين. في شركة برايس ووترهاوس كوبرز "استطلاع رؤى الثقة الرقمية العالمية لعام 2022"، قال 57% من قادة الأعمال إنهم يتوقعون قفزة في الهجمات على الخدمات السحابية، لكن 37% فقط قالوا إنهم يفهمون المخاطر السحابية. يختلف النهج ونماذج التشغيل الخاصة بالأمان بين موفري الخدمات السحابية، وتعد الحماية من المخاطر مسؤولية مشتركة تزداد تعقيدًا عند إضافة خدمات سحابية مشتركة تستخدم أساليب مختلفة، مثل إدارة الهوية والوصول (IAM) أو الخوادم الافتراضية.

على سبيل المثال، لدى بائعي الخدمات السحابية المختلفين نهجهم الخاص للوصول القائم على الأدوار. تتعامل Amazon Web Services مع الهوية من خلال ربط سياسات IAM مباشرة بخادم افتراضي، مما يمنح الخادم القدرة على اتخاذ الإجراءات. في المقابل، يركز عرض Google Cloud على إنشاء حسابات الخدمة (المستخدمين) ثم ربط هذه الحسابات بالخادم حتى يتمكن من التفاعل مع مورد آخر. تتراكم هذه الاختلافات الصغيرة على مستوى المؤسسة، مما يزيد من تعقيد الأمان لضمان أقل قدر من الامتيازات ومتطلبات الأمان الأخرى عبر كلا السحابتين.

نظرًا لأن الخدمات السحابية ليست مصممة للتكامل مع منافسيها، فإن تعلم كيفية استخدام أدوات الأمان لكل مزود سحابي هو مجرد البداية. ستحتاج فرق تكنولوجيا المعلومات إلى مركزية مراقبة الأمان الخاصة بهم باستخدام أداة إدارة أحداث المعلومات الأمنية (SIEM)، إلى جانب أدوات الطرف الثالث الأخرى لزيادة إمكانية التشغيل البيني للخدمات السحابية. تتطلب هذه الأنظمة المضافة تدريبًا وموارد إضافية وربما حتى موظفين إضافيين في مجال تكنولوجيا المعلومات لضمان الخبرة في كل منصة سحابية و كيف تعمل تلك المنصات معًا.

بالإضافة إلى هذه الاختلافات المضمنة بين خدماتهم، فإن معظم موردي الخدمات السحابية يمنحون الأولوية لعروض الأمان المصممة خصيصًا لهم. يؤدي هذا إلى مجموعة من التعقيدات التي تؤثر على أمان السحابة. على سبيل المثال، يمكن استخدام جدار حماية تطبيق ويب سحابي (WAF) لحماية شبكتك، ولكنه سيعمل فقط مع مزود خدمة سحابية محدد ولا يمكن توسيعه عبر عروض سحابية متعددة. يتطلب تكرار هذه الوظائف لمقدمي خدمات مختلفين إما تكرار الفرق لدعم وإدارة أدوات الأمان الرئيسية هذه أو شراء خدمة سحابية - مما يضيف موردًا آخر إلى هذا المزيج.

يمكن لهذه المخاطر والتكلفة الإضافية، التي لا يتم اكتشافها عادةً إلا في وقت متأخر من نشر نموذج متعدد السحابة، أن تؤدي إلى تأخير الجداول الزمنية وزيادة التكلفة وتحفيز نتائج التدقيق. إن الفشل في التخطيط لهذه المخاطر والتخفيف منها يمكن أن يترك الشركة عرضة للخسارة المالية والإجراءات التنظيمية والتقاضي والإضرار بالسمعة.

توصيل القيمة مع القياس الكمي للمخاطر

وتقدر جارتنر أنه بحلول عام 2023، 30% من فعالية مدراء تكنولوجيا المعلومات سوف يتوقف على قدرتهم على إظهار القيمة. نظرًا لأن استراتيجيات البيانات متعددة السحابات أصبحت هي القاعدة وزيادة تكلفة الضوابط الأمنية ضمن تلك الإستراتيجية، يمكن أن يساعد القياس الكمي للمخاطر القادة على توصيل قيمتهم باستمرار من خلال التعبير عن موقف المخاطر متعددة السحابات بقيم نقدية واضحة.

وفقاً لشركة برايس ووترهاوس كوبرز، فإن المؤسسات التي أبلغت عن أهم تحسن في نتائج الثقة في البيانات كان لديها أمران مشتركان: توقعت زيادة في إنفاقها على الأمن السيبراني، وقامت بدمج ذكاء الأعمال وتحليلات البيانات في نماذجها التشغيلية، بما في ذلك قياس المخاطر.

لتقييم المخاطر المالية لاستراتيجية متعددة السحابات، يجب على مسؤولي أمن المعلومات أن يأخذوا في الاعتبار تكاليف كل منصة مقارنة بالمخاطر المتصورة. يجب أن تتضمن هذه الاعتبارات ممارسات إدارة البيانات والأمن السيبراني لجميع موفري الخدمات السحابية الذين تفكر فيهم، إلى جانب أي أدوات ومنصات محايدة للسحابة ستستخدمها للمراقبة المشتركة.

مع وجود العديد من العوامل المؤثرة، لا يمكنك الاعتماد على مقاييس قياس غير دقيقة مثل "منخفض، متوسط، مرتفع" و"أحمر، أصفر، أخضر". يعد التعبير عن بيانات المخاطر من الناحية المالية أداة قوية لأنه يوفر لغة مشتركة لتوصيل أولويات المخاطر المتغيرة، وتحسين التوافق بين CISOs ومجلس الإدارة، وتسهيل اتخاذ قرارات مستنيرة لإدارة المخاطر.

فيما يلي مثال: ينظر CISO إلى القيمة المالية المرتبطة بالمخاطر المختلفة للبنية متعددة السحابات. ومن خلال مقارنة أساليب التخفيف من حادث الأمن السيبراني، وجدوا أن الضوابط الأفضل على الامتيازات الإدارية تقلل من التكلفة المالية للحدث أكثر بكثير من تنفيذ برنامج تدريبي على الأمن السيبراني. في حين أن رئيس أمن المعلومات (CISO) يفهم التفاصيل الفنية للمخاطر السيبرانية ضمن البنية السحابية المتعددة، فإن بقية مجموعة C-suite ستستفيد من وضوح القيم النقدية المرتبطة بكل خطر وتكتيك للتخفيف. ومن خلال تمكين كبار مسؤولي أمن المعلومات (CISOs) من عرض قضيتهم على زملائهم ومجلس الإدارة، فإن القياس الكمي للمخاطر يجلب المزيد من الشفافية إلى العديد من الأجزاء المتحركة في استراتيجية متعددة السحابات.

وفقًا لشركة Gartner، ستعمل أكثر من 85% من المؤسسات على اعتماد السحابة أولاً بحلول عام 2025، ولن تتمكن من تحقيق استراتيجياتها الرقمية بشكل كامل دون استخدام التقنيات السحابية الأصلية. وقد عبّر أحد قادة شركة Gartner عن الأمر بهذه الطريقة: "لا توجد استراتيجية عمل بدون استراتيجية سحابية."

من الضروري أن يتبع قادة الأعمال إستراتيجيات لحماية بياناتهم وتوصيل أولوياتهم متعددة السحابات، بما يتوافق مع لغة مشتركة ذات قيمة عبر المؤسسة.