Fler företag använder en multimolnstrategi som en del av sina digitala transformationsansträngningar för att stödja distribuerade team som arbetar i hybrid- och fjärrmodeller. Och precis som hybridarbetsmiljöer är här för att stanna, har multicloud-metoden fått fäste. Gartner förutspår globala molnintäkter kommer att nå $ 474 miljarder 2022, med 90% av företagen arbetar redan mot en multimolnstrategi.
När den utnyttjas på rätt sätt kan en multimolnstrategi göra många processer mer effektiva. Det erbjuder också större motståndskraft mot avbrott och mer flexibilitet hos leverantören än en strategi med ett moln. Ytterligare fördelar inkluderar:
- Undviker leverantörslåsning med en molnleverantör. En organisation med ett globalt fotavtryck och specialiserad data kan välja platsen för datacentret med minsta möjliga påverkan på sin verksamhet. Till exempel är Microsoft Azure för närvarande ledande i Mellanöstern ur ett datacenterperspektiv.
- Möjligheten att dra fördel av särskiljande funktioner som erbjuds av varje molnleverantör, såsom unika databaslösningar i Google Cloud eller möjligheten att hantera dina lokala och molnresurser mycket mer sömlöst i Microsoft Azure.
- Bättre kostnader och affärsresiliens, med specifika tjänster billigare genom en specifik leverantör och skydd mot tjänsteavbrott. Båda kräver design av dina tjänster för att dra nytta av fördelarna, men när den väl etablerats kan din organisation få tillbaka sin investering under två till tre år, vilket resulterar i långsiktiga kostnadsbesparingar.
Dessa fördelar har dock en kostnad. Det kan vara utmanande att se till att data och molninfrastruktur är säker och anpassad till dina skyldigheter och kontroller när olika miljöer är värd för flera leverantörer. Att berätta en enhetlig historia kring data, konfiguration och säkerhet inom dessa miljöer kan vara nästan omöjligt.
CISO:er som omfamnar en multicloud data strategi måste fokusera på två huvudsakliga säkerhetsfrågor: att hantera risker från leverantörer och deras olika molndriftsmodeller, och visa värdet av deras säkerhetskontroller och strategier inför ökade kostnader för att verka i en multimolnvärld.
Hantera risker över moln
Effekten och frekvensen av cyberattacker har ökat parallellt med det eskalerande fokuset på multimolnstrategier. Ransomware-attacker, dataintrång och stora IT-avbrott toppade Allianz Riskbarometer i år för bara andra gången i undersökningens historia, med chefer som rankar dem som mer oroande än störningar i leveranskedjan, naturkatastrofer och pandemin. Företag gör rätt i att visa oro: Organisationer över hela världen har erfarenhet 50 % fler veckovisa cyberattacker 2021 jämfört med 2020.
Företagsledare kommer ikapp vikten av cyberattacker, men de flesta är underinformerade om risker som deras leverantörspartner utgör. I PwC:s "2022 Global Digital Trust Insights Survey”, 57 % av företagsledarna sa att de förväntar sig ett hopp i attacker mot molntjänster, men endast 37 % sa att de förstår molnriskerna. Tillvägagångssättet och driftsmodellerna för säkerhet varierar mellan molnleverantörer, och att skydda mot risker är ett delat ansvar som bara blir mer komplext när du lägger till vanliga molntjänster som använder olika tillvägagångssätt, såsom identitets- och åtkomsthantering (IAM) eller virtualiserade servrar.
Till exempel har olika molnleverantörer sin egen inställning till rollbaserad åtkomst. Amazon Web Services hanterar identitet genom att koppla IAM-policyer direkt till en virtuell server, vilket ger servern möjlighet att vidta åtgärder. Google Clouds erbjudande fokuserar däremot på att skapa tjänstekonton (användare) och sedan koppla dessa konton till servern så att den kan interagera med en annan resurs. Dessa små skillnader ökar i företagsskala, vilket driver säkerhetskomplexiteten för att säkerställa minsta privilegie och andra säkerhetskrav i båda molnen.
Eftersom molntjänster inte är utformade för att integreras med sina konkurrenter, är det bara början att lära sig hur man använder säkerhetsverktyg för varje molnleverantör. IT-team kommer att behöva centralisera sin säkerhetsövervakning med ett SIEM-verktyg (Security Information Event Management) tillsammans med andra tredjepartsverktyg för att öka interoperabiliteten för molntjänster. Dessa tillagda system kräver ytterligare utbildning och resurser och kanske till och med ytterligare IT-bemanning för att säkerställa expertis i varje molnplattform och hur dessa plattformar fungerar tillsammans.
Utöver dessa inbyggda skillnader mellan deras tjänster, prioriterar de flesta molnleverantörer sina egna specifikt skräddarsydda säkerhetserbjudanden. Detta leder till en mängd komplikationer som plågar molnsäkerheten. Till exempel kan en brandvägg för molnwebbapplikationer (WAF) användas för att skydda ditt nätverk, men den fungerar bara med en specifik molntjänstleverantör och kan inte utökas över flera molnerbjudanden. Att duplicera dessa funktioner för olika leverantörer kräver antingen duplicering av team för att stödja och hantera dessa viktiga säkerhetsverktyg eller köpa en moln-agnostisk tjänst – vilket lägger till ännu en leverantör till mixen.
Denna ytterligare risk och kostnad, som vanligtvis inte upptäcks förrän sent under implementeringen av en multimolnmodell, kan pressa ut tidslinjer, öka kostnaderna och utlösa granskningsresultat. Underlåtenhet att planera för och mildra dessa risker kan lämna ett företag mottagligt för ekonomisk förlust, regulatoriska åtgärder, rättstvister och skada på rykte.
Kommunicera värde med riskkvantifiering
Gartner uppskattar att år 2023, 30 % av CISO:s effektivitet kommer att hänga på deras förmåga att visa värde. Eftersom multimolndatastrategier blir normen och kostnaden för säkerhetskontroller inom den strategin ökar, kan riskkvantifiering hjälpa ledare att kommunicera sitt värde konsekvent genom att uttrycka multimolnriskställningen i tydliga monetära värden.
Enligt PwC hade organisationer som rapporterade den mest betydande förbättringen av datatillförlitlighetsresultat två saker gemensamt: De förutspådde en ökning av sina utgifter för cybersäkerhet och de inkorporerade affärsintelligens och dataanalys i sina verksamhetsmodeller, inklusive riskkvantifiering.
För att bedöma de finansiella riskerna med en multimolnstrategi måste CISO:er ta hänsyn till kostnaderna för varje plattform vägd mot deras upplevda risker. Dessa överväganden måste inkludera datahantering och cybersäkerhetspraxis för alla molnleverantörer du överväger, tillsammans med eventuella moln-agnostiska verktyg och plattformar som du kommer att använda för gemensam övervakning.
Med så många faktorer som spelar in har du inte råd att förlita dig på oprecisa, magkänslasmätskalor som "låg, medium, hög" och "röd, gul, grön." Att uttrycka riskdata i finansiella termer är ett kraftfullt verktyg eftersom det erbjuder ett gemensamt språk för att kommunicera förändrade riskprioriteringar, förbättra anpassningen mellan CISO:er och styrelsen och underlätta bättre informerade riskhanteringsbeslut.
Här är ett exempel: En CISO tittar på det ekonomiska värdet som är förknippat med de olika riskerna med multicloud-arkitektur. Genom att jämföra taktik för att mildra en cybersäkerhetsincident, finner de att bättre kontroller över administrativa privilegier minskar de ekonomiska kostnaderna för evenemanget mycket mer än att implementera ett cybersäkerhetsutbildningsprogram. Även om CISO förstår de tekniska detaljerna för cyberrisk inom multicloud-arkitektur, kommer resten av C-suiten att dra nytta av tydligheten i monetära värden som är förknippade med varje risk- och begränsningstaktik. Genom att ge CISO:er möjlighet att framföra sina synpunkter till sina kollegor och styrelsen, ger riskkvantifiering mer insyn i de många rörliga delarna av en multimolnstrategi.
Enligt Gartner kommer mer än 85 % av organisationerna att fungera som moln-först år 2025, och de kommer inte att kunna förverkliga sina digitala strategier fullt ut utan att använda molnbaserad teknik. En Gartner-ledare uttryckte det så här: "Det finns ingen affärsstrategi utan en molnstrategi."
Det är absolut nödvändigt att företagsledare följer strategier för att skydda sina data och kommunicera sina multimolnprioriteringar, i linje med organisationen med ett gemensamt värdespråk.
