Διαχείριση κινδύνου στο cloud

12/12/2024 / Miscellaneous

Προσθήκη των CSP στις διαδικασίες διαχείρισης κινδύνου τρίτων του οργανισμού

Τα αυξανόμενα επίπεδα πρόσβασης και ενσωμάτωσης σε περιβάλλοντα cloud δημιουργούν πιθανούς κινδύνους για τους πελάτες του cloud. Οι οργανισμοί μπορούν να ελπίζουν ότι οι πάροχοι υπηρεσιών cloud τους είναι ασφαλείς, αλλά αυτό δεν συμβαίνει πάντα.

Τι πρέπει να λάβετε υπόψη

- Τι είδους υπηρεσία cloud σας παρέχεται: SaaS, PaaS ή IaaS;

- Ποιο είναι το μοντέλο κοινής ευθύνης;

Οι πελάτες συνήθως έχουν περιορισμένο έλεγχο στις δυνατότητες ασφάλειας SaaS σε σχέση με το PaaS και το IaaS. Αυτό σημαίνει ότι το SaaS μπορεί να έχει υψηλότερο κίνδυνο από πλευράς τρίτου μέρους, κυρίως επειδή οι πάροχοι έχουν όλη την ευθύνη για την προστασία δεδομένων, τη διαθεσιμότητα και την ανθεκτικότητα της υπηρεσίας, καθώς και τον εντοπισμό και την απόκριση απειλών.

Οι τύποι των δεδομένων που αποθηκεύονται ή παράγονται και η ευαισθησία τους σε περιβάλλοντα υπηρεσιών cloud και πρόσβαση τρίτων είναι επίσης πρωταρχικής σημασίας. Η κατανόησή τους μας βοηθά να αξιολογήσουμε το ρίσκο της υπηρεσίας cloud, ιδιαίτερα εάν τα δεδομένα συνδέονται με κανονισμούς ή απαιτήσεις συμμόρφωσης του κλάδου.

Προσδιορίστε το “third-party risk” στο cloud

Ανεξάρτητα από το μοντέλο υπηρεσίας, οι οργανισμοί θα πρέπει να διασφαλίζουν ότι οι υπηρεσίες cloud συνάδουν με τις πρακτικές διαχείρισης ρίσκου.

1. Κάντε ερωτήσεις ασφαλείας στους CSP

Ζητήστε πληροφορίες σχετικά με τις πρακτικές και τις πολιτικές ασφαλείας από τους CSP, όπως πληροφορίες σχετικά με τον τρόπο διαμόρφωσης και κλειδώματος. Οι υπηρεσίες PaaS και IaaS, για παράδειγμα, χρησιμοποιούν συχνά ιδιόκτητους και προσαρμοσμένους hypervisors.

2. Αναπτύξτε μια πλατφόρμα “third-party risk”

Οι οργανισμοί που χρησιμοποιούν πολλαπλές υπηρεσίες cloud θα μπορούσαν να επωφεληθούν από τη χρήση μιας πλατφόρμας διαχείρισης κινδύνου τρίτων για να παρακολουθούν το ταχέως μεταβαλλόμενο τοπίο.

3. “Cloud service threat modeling”

Ενσωματώστε μοντελα απειλών υπηρεσιών cloud που περιλαμβάνουν σενάρια επιχειρηματικής συνέχειας στο πρόγραμμα διαχείρισης κινδύνου τρίτων. Καθώς όλο και περισσότεροι οργανισμοί βασίζονται σε εφαρμογές cloud και υποδομές για τις καθημερινές λειτουργίες, ο αντίκτυπος σε έναν οργανισμό εάν το CSP του αντιμετωπίσει μια παραβίαση ή μια μεγάλη διακοπή λειτουργίας μπορεί να είναι τεράστιος.

4. Αξιολογήστε την ανθεκτικότητα στον κίνδυνο

Οι ομάδες ασφαλείας θα πρέπει να καθορίσουν ανεκτά downtime, επιπτώσεις καθυστερήσεων ή παντελούς έλλειψης πρόσβασης για μια χρονική περίοδο και εάν υπάρχουν εναλλακτικές λύσεις.

Για οποιεσδήποτε πιθανές παραβιάσεις σε ένα CSP, οι ομάδες ασφαλείας θα πρέπει να αναζητήσουν τις ακόλουθες πληροφορίες το συντομότερο δυνατό:

- Πόσο μεγάλο είναι το πρόβλημα;

- Επηρεάζει εμάς ή τα δεδομένα μας;

- Χρειάζεται να ειδοποιήσουμε τις αρχές;

- Πότε μπορούμε να περιμένουμε updates;

- Ποια είναι τα επόμενα βήματα;

Όπως συμβαίνει με οποιοδήποτε περιστατικό ασφάλειας τρίτου μέρους, η απόκριση ποικίλλει ανάλογα με τον πάροχο και την περίπτωση. Το πιο σημαντικό είναι να ενημερώσετε τις εσωτερικές πρακτικές ασφάλειας, τις διαδικασίες, τα σχέδια επικοινωνίας και τα μοντέλα συνέχειας ώστε να λάβετε υπόψη τα απρόσμενα σενάρια που θα μπορούσαν να προκύψουν σε οποιοδήποτε CSP.

Πηγή: techtarget.com

Στην Cloud Concept στόχο αποτελεί η αδιάλειπτη τεχνική υποστήριξη των αναγκών σας, η προσφορά managed υπηρεσιών υψηλού επιπέδου και χρήσιμων προτάσεων για την αποδοτική διαχείριση των δεδομένων σας.

Ακολουθήστε μας σε LinkedIn, Facebook & Instagram ή εγγραφείτε στο Newsletter μας, για να μένετε ενημερωμένοι!