، 22 ژوئن 2021 ،Richard Chatterton
نرم افزارها و برنامههای مبتنی بر ابر، درهای سبک کار انعطافپذیر را باز کردهاند. اگر «اینترنت و لپ تاپ دارید، میتوان کار کرد» تبدیل به فرم جدیدی از کار برای کارکنان در سراسر جهان شده است. در پاسخ، سازمانها با یک استراتژی امنیتی اولین ابر، درحال بازسازی نیروی کار به طور فزاینده دیجیتالی هستند. این که آیا سازمان شما به تازگی سفری ابری را آغاز کرده است، یا میخواهید فرآیند پردازش فروشنده ابر را به روز کنید، در اینجا به برخی نکات که برای ایجاد یک استراتژی امنیتی اولین ابر وجود دارد اشاره شده است.
الویت امنیت ابری چیست؟ Cloud-First Security
برای کاهش خطرات امنیتی تیمهایی را در سطح شرکت درگیر کنید. برخلاف سیستمهای تجاری سیلزده گذشته، امنیت ابر به عهده همه است. اطمینان حاصل کنید که رهبران بر این اساس خطرات و انتظارات ناگهانی در بین تیمها را درک میکنند.
در سطح اجرایی، اطلاعات حساس شرکت و مشتری و حاکمیت آن از اهمیت بالاتری برخوردار است. نقض یا نشت اطلاعات حساس میتواند اعتماد (و نام تجاری شما) را با میلیونها مصرفکننده فعلی یا بالقوه از بین ببرد و میلیونها دلار، اگر نه میلیاردها دلار، خسارت به شرکت وارد کند.
زیرساختهای فناوری، معماری و دادههای عملیاتی و تعمیر و نگهداری، دسترسی و امنیت مربوط به آن مسئولیت اساسی مدیر ارشد اطلاعات، دیجیتال یا فناوری است. همزمان با توسعه و رشد فناوری ابر، تهدیدات پیچیده و فزاینده نیز افزایش مییابد، که به اقدامات حفاظتی پیشرفتهتری نیاز دارد. منابع امنیتی اختصاصی فناوری اطلاعات داخلی ممکن است عملی و یا قابل توسعه نباشد، یا یک گزینه مقرون به صرفه برای محافظت از سیستمهای ابر حیاتی باشد.
امنیت ابر همچنین به هر واحد تجاری وابسته به زمان به روز نرم افزار ابری برای برنامههای مهم تجاری که به مشتریان موجود و بالقوه خدمت میکنند، درحالی که از نام تجاری و شهرت شرکت محافظت میکند، گسترش مییابد. پیامدهای مالی و حقوقی ناشی از عدم رعایت حریم خصوصی و امنیت دادهها میتواند قابل توجه باشد.
ملاحظات مربوط به امنیت ابر و جامع بودن
قبل از اینکه فروشندههای خدمات ابری احتمالی گزارشهای امنیتی و فنی حساس، گواهینامهها و اسناد مربوطه را تحویل دهند، آماده امضای توافق نامه عدم افشای اطلاعات در هنگام بررسی فروشندگان ابری جدید باشید. نرم افزار و ارائهدهندگان خدمات ابری که اطلاعات حساس شرکت یا مشتری را ذخیره و پردازش میکنند، باید تحت ممیزیهای متعدد، منظم و جهانی شناخته شوند.
الزامات انطباق ممکن است بسته به عملکردهای تجاری، دادهها، صنعت و یا جغرافیا متفاوت باشد. استانداردهای جهانی رایج برای امنیت و مدیریت خدمات ابری شامل گواهینامه BS10012: 2017 شامل استانداردهای حریم خصوصی دادهها، گواهینامه ISO 9001 که استانداردهای کیفیت را پوشش میدهد، میباشند. علاوه بر این، ISO 27001 یک استاندارد جهانی برای اقدامات مدیریت امنیت IT فراهم میکند و ISO 22301 بر امنیت و انعطافپذیری فرآیندهای مدیریت تداوم کسب و کار ارائهدهنده ابر تمرکز دارد.
به عنوان مثال، SAP Concur یکی از اولین ارائهدهندگان خدمات ابر بود که به مشتریانی مانند آژانس دفاع ملی و موسسات مالی و هجدهمین شرکت آمریکایی که در سال 2004 دارای گواهینامه ISO 27001 ،BS7799 سابق شده است، خدمات ارائه میدهد. SAP همچنان تحت این شرایط و چندین مورد قرار دارد. سایر ممیزیهای امنیتی خارجی و داخلی برای حفظ سطح بالایی از صدور گواهینامه را داراست.
استانداردهای اضافی در نظر گرفته شده شامل انطباق صنعت کارت پرداخت (PCI) مربوط به امنیت دادههای پرداخت و گزارشهای SOC1 و SOC2 نوع II است که به ترتیب انطباق کنترلهای داخلی و گزارشهای حسابرسی امنیتی را پوشش میدهند.
حریم خصوصی دادهها در حال رشد است که مورد بررسی قرار میگیرد. بسته به کشور و حوزههای قضایی که در آن فعالیت میکنید، قوانین حریم خصوصی محلی وجود دارد که فروشنده باید از آنها تبعیت کند. به عنوان مثال، در استرالیا سازمانها باید از اصول حفظ حریم خصوصی اطلاعات استرالیا پیروی کنند. ویژگیهای مشترک محصولات حریم خصوصی شامل روشهای نگهداری اطلاعات (و حذف) و مقررات کلی حفاظت از دادهها (GDPR) است که بدون توجه به محل استقرار یک سازمان برای شهروندان اتحادیه اروپا قابل اجرا است.
اطلاعات باید هنگام انتقال از طریق شبکه عمومی و در هنگام ذخیره در پایگاه داده، رمزگذاری شوند. دسترسی ارائه دهنده ابر به دادهها فقط باید برای تعداد محدودی از افراد دارای مجوز مناسب و بررسی شده باشد. معمول است که تقاضا میشود کارکنانی که به دادهها و مراکز داده دسترسی دارند قبل از دسترسی به دادههای مشتری، بررسی پیشینه مناسب داشته باشند. از روشهای استاندارد رمزگذاری صنعت برای دادههای در حال انتقال و در حالت سکون استفاده کنید.
اگر حاکمیت داده برای کسب و کار شما مهم است، از مکان و مالکیت مراکز داده ارائه دهنده ابر خود مطلع باشید. اطمینان حاصل کنید که مراکز داده از ردیف 3+ یا سطح 4 برخوردار هستند و روشهای مناسب بازیابی بحران و بایگانی/پشتیبان را تأیید میکنند. سایتهای تولید اولیه باید از سایتهای ثانویه پشتیبانگیری و بازیابی بحران جدا باشند.
ارائهدهندگان خدمات ابر معمولاً خدمات را از قبیل زیرساختها به اشخاص ثالث واگذار میکنند. از فروشنده ابری خود در مورد روشهای خود و نحوه برخورد آنها با حریم خصوصی و امنیت با دادههای شما پرس و جو کنید.
امنیت موبایل نیز مورد دیگری است. قابلیتهای امنیتی برنامههای تلفن همراه را با همان سطح دقیق بررسی برنامههای وب فروشنده، بیش از ویژگیهای امنیتی محلی دستگاه همراه مانند بیومتریک، بررسی کنید.
امنیت ابر دائماً در حال پیشرفت است. مراقبتهای فنی مستمر را انجام دهید، زیرا الزامات، قوانین و انتظارات میتواند بین عملکرد، صنایع و مناطق مختلف متفاوت باشد. مهمتر از همه، یکپارچگی، امنیت و در دسترس بودن اطلاعات شرکت و مشتری خود را با همان دقت تمام کل کسب و کار مبتنی بر ابر خود مدیریت کنید. این تنها راه همگام سازی با نیروی کار دیجیتالیشده شماست.
