管理云数据安全的三个关键
今天浏览任何商业或科技杂志, 你会发现越来越多令人印象深刻的理由将你的部分业务转移到云:更大的存储空间, 更好的生产力和协作, 更低的IT成本和更快的上市时间. 但是,如果您仍在关注将公司数据从您的直接控制转移到云中所涉及的风险, 你并不孤单.
最近的一项调查显示,压倒性的 93%的受访者担心云安全. 另一项研究表明 60%的企业正在停止采用云计算 因为数据安全和隐私方面的问题.
当然, 识别和考虑如何管理风险总是至关重要的, 但这不应该阻止你继续推进云计算计划. 而不是, 将您的担忧作为一个提示,检查您的公司计划如何使用云,以及将采取什么措施来保证您的数据安全.
你在担心什么?
IT团队通过知道哪些数据是敏感的来保证数据的安全, 存储在哪里,谁有权限. 但随着数据和应用程序迁移到云端,这些细节变得越来越难以确定.
能见度低
员工能够自己轻松安装应用程序的缺点是,IT部门甚至可能不知道敏感数据何时转移到云端. 如果IT部门不知道数据已经移动,他们如何确保适当的保护措施到位? 例如, 自行安装NetSuite的会计团队可能会选择允许不当访问财务数据的用户设置. 类似的, 使用Dropbox的员工可以轻松地将机密文件存储在不安全的公共文件夹中.
失去控制
将公司数据迁移到云端引发了一些大问题. 例如:
- 云服务提供商组织中的哪些人以及有多少人可以访问?
- 数据丢失后将存储、备份或恢复在哪里?
- 不再需要的数据怎么办?
- 谁拥有提供商存储的敏感数据和知识产权?
对多租户的关注
当公司在云中共享基础设施、数据或应用程序时,还会出现其他问题. 例如:
- 使用共享服务的其他组织能否访问您的数据?
- 共享服务提供商是否有薄弱的控制,可能为攻击您的数据创造途径?
您的云服务提供商, 谁能比你有更多的资源来保证安全, 对云中的数据安全负有责任吗. 但可以理解的是,这种责任仅限于提供商可以控制的事情, 比如他们自己的服务器或其他云基础设施组件. 现实情况是,虽然你可能与云计算提供商签署协议,说你们将共同保护你的数据, 最终大部分责任都落在你身上. 这就是为什么尽你的一份力量来保护你的数据安全是很重要的.
以下是管理云计算风险的3个关键
1. 重新获得对数据的可见性
首先在您的公司内部询问以下问题,以帮助确定您的数据安全风险.
- 人们已经在使用云服务了吗? 如果有,为什么??
- 有没有公司的数据已经存在于云端?
- 如果向云的迁移正在进行中, 谁负责选择供应商并决定哪些数据将被转移?
下一个, 确保您了解在公共云中存储不同类型信息的相关风险. 例如, 将一家上市公司此前披露的财务数据存储在云端可能没问题, 但是,在允许机密财务数据转移到外部之前,您需要三思而后行.
您还应该清楚地了解可能影响数据存储位置的任何遵从性约束. 哪些规章制度适用于你的公司、客户和行业? 例如, 医院和保险公司必须遵守健康保险流通与责任法案(HIPAA)。, 这需要对动态和静态数据进行加密. 任何处理信用卡信息的公司都必须遵守支付卡行业数据安全标准(PCI), 欧洲的公司需要注意《盈禾体育》中规定的严格标准. 您甚至可能有一些客户的服务水平协议(sla)根本不允许云计算.
一旦您了解了公司的遵从性需求, 下一步是建立或加强数据安全策略. 使用广为接受的安全标准将为开发和适当维护安全策略提供指导和坚实的基础. 一个很好的应用标准是ISO27001/2, 但与政府签订合同的公司可能希望研究NIST的网络安全框架和FedRAMP要求. 医疗保健领域的企业也应该考虑HIPAA, 电子商务公司将需要考虑增加PCI要求.
对员工更安全地管理数据有最直接影响的安全策略之一是数据分类. 它按敏感级别对数据进行排序,并阐明如何根据这些级别(类别)处理数据。. 例如, 个人身份信息, 哪些通常被归类为机密信息, 可能包括一个处理程序,不能通过电子邮件发送和/或不能在没有加密的情况下存储在云中. 通常以表格的形式记录, 员工在处理非公开数据时,可以很容易地参考该表并相应地处理数据. 最后, 构建一种机制来监视这些控件的遵从性,以便您知道如何以及何时调整它们.
2. 做好你的尽职调查
对付体力损失的最好办法, 内部控制是选择一个稳定的, 可靠的服务提供商,至少可以保护您的数据以及您可以. 首先检查提供者的安全状态, 包括技术架构, 加密, 审计程序, 数据所有权和删除策略, 以及业务连续性和灾难恢复计划.
当你开始评估服务提供商时, 使用以下问题来帮助指导你的决策:
- 这些控制是否到位并在运行?
- 有空白或例外吗?
- 例如,也要考虑商业惯例, 提供商如何筛选新员工并处理身份和访问管理?
- 它们是否符合PCI或ISO等符合您合规性需求的标准?
- 他们的财务状况稳定吗??
评估提供商安全状况的最有效方法之一是查看其独立报告,如服务组织控制(SOC)或安全评估报告. 如果没有的话, 提出你自己的问题并验证答案,或者转向另一个提供者.
在签署协议之前,确保你在合同中看到了这些信息, 然后至少每年继续监控和审查他们的安全状况. 如果您正在使用多个云提供商,那么密切关注这些细节尤为重要. 不要忘记您的提供者正在使用的子服务提供者. 记住,你的数据安全的强度取决于你最薄弱的环节.
3. 地址多租户
要解决这个问题,首先要了解云计算在管理多租户方面已经并将继续成熟——特别是当涉及到企业提供商时,比如 亚马逊 和 微软. 然而, 不是每个人都能负担得起这些服务, 因此,确保较小的提供商能够可靠地阻止其他客户访问您的数据是很重要的.
订阅托管在云中的软件的公司(软件即服务), 或SaaS)应该寻找数据库分段, 而使用基础设施即服务(IaaS)的公司应该在管理程序级别上寻找虚拟机的分离, 以及如何实现分离的清晰解释. 这些信息将帮助您了解云提供商对您的数据的责任在哪里结束,而您的责任从哪里开始.
将一切结合在一起
虽然云中的数据安全风险是无可争议的真实存在的, 云计算已经走了很长一段路,供应商现在在管理这些风险方面有了更多的专业知识. 密切关注您的公司和服务提供商如何处理云中的数据, 将帮助您制定一个强有力的风险管理策略,解决您所有的问题,并保护您的公司的信息,无论它在哪里. 随着网络攻击的增加, 在某些时候,您的公司也可能面临安全漏洞. 因此, 及时检测安全事件并制定可靠的安全事件响应计划至关重要.
如果你需要外界帮助, Bridgepoint咨询 是否有一个行业专家团队可以帮助您驾驭云风险管理的复杂性. 我们提供咨询服务,帮助各种规模的公司解决复杂的挑战,并支持广泛的组织转型服务. 了解更多盈禾体育的综合风险 & 合规服务 在这里.
你可能还会喜欢:
跟着我们走 推特 和 LinkedIn 获取帮助您发展和管理业务的最新见解、最佳实践和资源.
