יום חמישי, 30 בינואר 2014

בניית אמון באבטחת שירותי ענן


השימוש בשירותי מחשוב בענן (cloud computing) מתרחב בשנים האחרונות באופן מהיר. השירותים מספקים יכולת גידול, דינמיות וצמצום עלויות הטמעה ותפעול IT של ארגונים. יחד עם זאת, שירותים אלו יוצרים אתגרים לא פשוטים בנושא חיסיון, אמינות וזמינות המידע ללקוחות. אלה האחרונים אמורים לתת אמון מלא במנגנוני האבטחה של ספק השירות אשר הינו האחראי הבלעדי לניהול תשתיות המחשוב ואבטחת המידע בענן ברוב המקרים.
רבים מהלקוחות, כמו אותו בן תם מההגדה של פסח, "אינם יודעים לשאול" את השאלות הנכונות בנושא מורכב זה.

קיימות שאלות פונקציונליות כגון: מי אחראי על המידע כשהוא שמור בענן ?
בבעלות מי ה – Meta Data הנוצר מעיבוד המידע ?
לאיזו רגולציה או חוק כפופים המידע השמור בשירות בענן ?

קיימות גם שאלות חוזיות כמו: איך מונעים מצב של Vendor Lock-in מול ספק ענן ?
האם ניתן לקיים תהליך בחינה של בקרות אבטחת מידע על השירות המסופק באמצעות גוף עצמאי ?

קיימות שאלות נוספות רבות, בין היתר: למי יש גישה למידע של הלקוח או למפתחות ההצפנה ?
מאיפה ניתן לקבל גישה ניהולית לתשתיות המחשוב של השירות ?
אילו בקרות קיימות בשירות למניעת זליגת מידע לגורם לא מורשה או ללקוח אחר של הספק ?
אילו מנגנוני דיווח קיימים בנוגע לתהליכים המבוצעים על ידי הספק בשירות ענן ? האם ניתן לקבל דיווח בנוגע לעמידה ברמת השירות של הספק ?

ספקי ענן שמעוניינים לשפר את האמון של לקוחות פוטנציאליים ברמת האבטחה של השירות שלהם חייבים לוודא שיש להם מנגנוני אבטחה מובנים ושהם מסוגלים לספק תשובות לשאלות אלו ורבות אחרות.

ארגון ה – Cloud Security Alliance הבינלאומי, שמקדם את אבטחת המידע בשירותי ענן בכל העולם, פרסם רשימות של שאלות והנחיות בנושא אבטחת שירות ענן. ניתן להשתמש בכלים אלו כדי ליצור ולפתח אמון בין לקוחות לספקי ענן בכל הקשור לאבטחת המידע.

צמצום פערים מול דרישות אבטחת מידע בשירותי ענן (בקישורים המופיעים למעלה) והעברת המידע המתאים ללקוחות הפוטנציאליים של השירות הם חיוניים על מנת להפוך את כולם ל"בנים חכמים" ולהגדיל את האמון הכולל ברמת האבטחה של שירותי הענן.