הפחתת סיכונים והעברת ערך בסביבות מולטיענן

חותמת זמן: 23 בספטמבר 2022 9:00
צומת המקור: 1687036

ארגונים נוספים נוקטים בגישת multicloud כחלק ממאמצי הטרנספורמציה הדיגיטלית שלהם לתמוך בצוותים מבוזרים העובדים במודלים היברידיים ומרוחקים. ובדיוק כשסביבות עבודה היברידיות כאן כדי להישאר, גישת מולטי הענן השתלטה. גרטנר צופה שהכנסות הענן העולמיות יגיעו 474 מיליארדים $ ב2022עם 90% מהעסקים כבר עובדים לקראת אסטרטגיית רב עננים.

כאשר מינוף נכון, אסטרטגיית multicloud יכולה להפוך תהליכים רבים ליעילים יותר. הוא גם מציע עמידות רבה יותר בפני הפסקות וגמישות רבה יותר של הספקים מאסטרטגיית ענן יחיד. יתרונות נוספים כוללים:

  • הימנעות מנעילת ספקים עם ספק ענן אחד. ארגון עם טביעת רגל גלובלית ונתונים מיוחדים יכול לבחור את המיקום של מרכז הנתונים עם ההשפעה המינימלית על העסק שלו. לדוגמה, Microsoft Azure מובילה כיום במזרח התיכון מנקודת מבט של מיקום מרכזי נתונים.
  • היכולת לנצל את התכונות הייחודיות המוצעות על ידי כל ספק ענן, כגון פתרונות מסד נתונים ייחודיים ב-Google Cloud או היכולת לנהל את משאבי הענן המקומיים שלך בצורה חלקה הרבה יותר ב-Microsoft Azure.
  • עלויות טובות יותר וגמישות עסקית, עם שירותים ספציפיים זולים יותר באמצעות ספק ספציפי והגנות מפני שיבושים בשירות. שניהם דורשים לעצב את השירותים שלך כדי למנף את היתרונות, אך לאחר הקמתו, הארגון שלך יכול להחזיר את ההשקעה שלו במשך שנתיים עד שלוש, וכתוצאה מכך לחסכון בעלויות לטווח ארוך.

עם זאת, ליתרונות אלה יש מחיר. זה יכול להיות מאתגר להבטיח שתשתית נתונים ותשתית ענן מאובטחת ומתואמת לחובות ולבקרות שלך כאשר סביבות שונות מתארחות אצל מספר ספקים. לספר סיפור מאוחד סביב הנתונים, התצורה והאבטחה בתוך אותן סביבות יכול להיות כמעט בלתי אפשרי.

CISOs אשר מחבקים א גישת נתוני multicloud חייבים להתמקד בשני חששות אבטחה עיקריים: ניהול סיכונים הנשקפים מהספקים ומודלים שונים של תפעול ענן שלהם, והדגמת הערך של בקרות ואסטרטגיות האבטחה שלהם מול העלויות המוגברות של פעולה בעולם מול עננים.

ניהול סיכונים על פני עננים

ההשפעה והתדירות של מתקפות סייבר גדלו במקביל להתמקדות ההולכת וגוברת באסטרטגיות מולטי עננים. התקפות כופר, פרצות נתונים והפסקות IT גדולות היו בראש ברומטר סיכונים של אליאנץ השנה בפעם השנייה בלבד בתולדות הסקר, כאשר מנהלים מדרגים אותם כמדאיגים יותר מהפרעות בשרשרת האספקה, אסונות טבע ומגיפה. חברות צודקות לגלות דאגה: ארגונים מנוסים ברחבי העולם 50% יותר התקפות סייבר שבועיות בשנת 2021, לעומת 2020.

מנהיגים עסקיים מדביקים את החשיבות של מתקפות סייבר, אך רובם אינם מעודכנים לגבי סיכונים הנשקפים מהשותפים המוכרים שלהם. ב-PwC'sסקר Global Digital Trust Insights לשנת 2022", 57% מהמנהיגים העסקיים אמרו שהם צופים זינוק בהתקפות על שירותי ענן, אבל רק 37% אמרו שהם מבינים את סיכוני הענן. הגישה והמודלים התפעוליים של אבטחה משתנים בין ספקי ענן, והגנה מפני סיכונים היא אחריות משותפת שרק נעשית מורכבת יותר ככל שמוסיפים שירותי ענן נפוצים המשתמשים בגישות שונות, כגון ניהול זהויות וגישה (IAM) או שרתים וירטואליים.

לדוגמה, לספקי ענן שונים יש גישה משלהם לגישה מבוססת תפקידים. Amazon Web Services מטפל בזהות על ידי צירוף מדיניות IAM ישירות לשרת וירטואלי, מה שמעניק לשרת את היכולת לבצע פעולות. ההצעה של Google Cloud, לעומת זאת, מתמקדת ביצירת חשבונות שירות (משתמשים) ולאחר מכן צירוף חשבונות אלה לשרת כדי שיוכל ליצור אינטראקציה עם משאב אחר. ההבדלים הקטנים הללו מסתכמים בקנה מידה ארגוני, ומניעים את מורכבות האבטחה כדי להבטיח מינימום הרשאות ודרישות אבטחה אחרות בשני העננים.

מכיוון ששירותי ענן אינם מתוכננים להשתלב עם המתחרים שלהם, ללמוד כיצד להשתמש בכלי אבטחה עבור כל ספק ענן הוא רק ההתחלה. צוותי IT יצטרכו לרכז את ניטור האבטחה שלהם עם כלי ניהול אירועי מידע אבטחה (SIEM), יחד עם כלים אחרים של צד שלישי כדי להגביר את יכולת הפעולה ההדדית של שירותי ענן. מערכות נוספות אלו דורשות הכשרה ומשאבים נוספים ואולי אפילו צוות IT נוסף כדי להבטיח מומחיות בכל פלטפורמת ענן ו כיצד הפלטפורמות הללו פועלות יחד.

בנוסף להבדלים המובנים בין השירותים שלהם, רוב ספקי הענן נותנים עדיפות להצעות האבטחה המותאמות במיוחד משלהם. זה גורם לשורה של סיבוכים שמטרידים את אבטחת הענן. לדוגמה, חומת אש של יישומי אינטרנט בענן (WAF) יכולה לשמש כדי להגן על הרשת שלך, אבל היא תעבוד רק עם ספק שירותי ענן ספציפי ולא ניתנת להרחבה על פני מגוון הצעות ענן. שכפול הפונקציונליות הללו עבור ספקים שונים דורש שכפול צוותים כדי לתמוך ולנהל את כלי האבטחה המרכזיים הללו או קניית שירות אגנוסטיק בענן - מה שמוסיף עוד ספק לתמהיל.

הסיכון והעלות הנוספים הללו, שבדרך כלל לא מתגלים עד מאוחר בפריסה של מודל מולטי-ענן, יכולים לדחוף החוצה לוחות זמנים, להגדיל את העלות ולעורר ממצאי ביקורת. אי תכנון והפחתת סיכונים אלו עלולים להשאיר חברה חשופה להפסד כספי, פעולות רגולטוריות, ליטיגציה ופגיעה במוניטין.

העברת ערך עם כימות סיכונים

גרטנר מעריכה שעד 2023, 30% מהיעילות של CISOs יהיו תלויים ביכולתם להפגין ערך. כאשר אסטרטגיות נתוני ריבוי עננים הופכות לנורמה והעלות של בקרות אבטחה בתוך אסטרטגיה זו עולה, כימות סיכונים יכול לעזור למנהיגים לתקשר את ערכם באופן עקבי על ידי ביטוי עמדת הסיכון הרב ענן בערכים כספיים ברורים.

לפי PwC, לארגונים שדיווחו על השיפור המשמעותי ביותר בתוצאות אמון הנתונים היו שני דברים משותפים: הם חזו עלייה בהוצאות שלהם על אבטחת סייבר, והם שילבו בינה עסקית וניתוח נתונים במודלים התפעוליים שלהם, כולל כימות סיכונים.

כדי להעריך את הסיכונים הפיננסיים של אסטרטגיית multicloud, CISOs חייבים לקחת בחשבון את העלויות של כל פלטפורמה הנשקלת מול הסיכונים הנתפסים שלהם. שיקולים אלה חייבים לכלול את נוהלי ניהול הנתונים ואבטחת הסייבר של כל ספקי הענן שאתה שוקל, יחד עם כל הכלים והפלטפורמות האגנוסטיות של הענן שבהם תשתמש לניטור משותף.

עם כל כך הרבה גורמים שמשחקים, אינך יכול להרשות לעצמך להסתמך על סולמות מדידה לא מדויקים ותחושת בטן כמו "נמוך, בינוני, גבוה" ו"אדום, צהוב, ירוק". ביטוי נתוני סיכונים במונחים פיננסיים הוא כלי רב עוצמה מכיוון שהוא מציע שפה משותפת לתקשורת סדרי עדיפויות סיכונים משתנים, לשפר את ההתאמה בין CISOs לבין הדירקטוריון, ולהקל על החלטות ניהול סיכונים מושכלות יותר.

הנה דוגמה: CISO בוחן את הערך הפיננסי הקשור לסיכונים השונים של ארכיטקטורת multicloud. על ידי השוואת טקטיקות להפחתת אירוע אבטחת סייבר, הם מגלים שבקרות טובות יותר על הרשאות ניהול מפחיתות את העלות הכספית של האירוע הרבה יותר מאשר יישום תוכנית אימון אבטחת סייבר. בעוד שה-CISO מבין את הפרטים הטכניים של סיכוני סייבר בתוך ארכיטקטורת multicloud, שאר חבילת ה-C ייהנו מהבהירות של הערכים הכספיים הקשורים לכל טקטיקת סיכון והפחתה. על ידי העצמת CISOs להשמיע את טענותיהם לעמיתיהם ולדירקטוריון, כימות סיכונים מביא לשקיפות רבה יותר לחלקים הנעים הרבים של אסטרטגיית multicloud.

לפי גרטנר, יותר מ-85% מהארגונים יתפקדו כראשוני הענן עד 2025, והם לא יוכלו לממש את האסטרטגיות הדיגיטליות שלהם ללא שימוש בטכנולוגיות מקוריות בענן. מנהיג גרטנר ניסח זאת כך: "אין אסטרטגיה עסקית בלי אסטרטגיית ענן."

זה הכרחי שמנהיגים עסקיים יפעלו באסטרטגיות כדי להגן על הנתונים שלהם ולתקשר את סדרי העדיפויות הרב-עננים שלהם, תוך התאמה בין הארגון לשפה משותפת של ערך.

בול זמן:

עוד מ קריאה אפלה