11 ноября 2021

Доверяй, но проверяй: как преодолеть сомнения в безопасности облаков

ИБ-риски в сочетании со сложностью гибридных и мультиоблачных сред, а также нехватка квалифицированных специалистов сдерживают массовый переход бизнеса в облака. Какой стратегии следует придерживаться?

Из 200 топ-менеджеров ИТ-компаний, участвовавших в опросе Accenture, 65% назвали риски информационной безопасности и несоответствия нормативным требованиям наиболее частым препятствием для применения облачных технологий. 
 
Новая реальность
 
С началом пандемии традиционные стратегии и методы обеспечения безопасности подверглись серьезным испытаниям. Наряду с привычными угрозами взлома ИТ-систем резко увеличилась популяция вымогателей, использующих блокировку с помощью программ класса ransomware.
 
Современные технологии шифрования позволяют злоумышленникам блокировать компаниям доступ к файлам и информационным системам. Блокировку снять невозможно – ключ шифрования известен только преступнику. За снятие блокировки у жертвы атаки требуют деньги.
 
Киберпреступников нового поколения привлекают схемы с низким риском и высоким вознаграждением в случае успеха. Блокировке по данной схеме могут подвергнуться практически любые ИТ-ресурсы компании, вне зависимости от схемы развертывания, включая облачные среды. 
 
По данным отчета Accenture о трендах киберугроз Cyber Threat Intelligence, опубликованного в начале 2021 года, более 60% инцидентов с ИТ-системами бизнеса связано с использованием ransomware. Среднее время простоя корпоративных ИТ по этой причине составляет сегодня не менее 12 дней.
 
В этом свете актуализируется тезис о том, что любая миграция на новые платформы и преобразование привычных бизнес-моделей должны в первую очередь быть безопасными. Руководителям ИБ-служб необходимо повышать устойчивость ИТ-систем, адаптироваться к изменениям и заручиться на этом пути поддержкой руководства компании. 
 
Сумма облачных преимуществ
 
ИБ-риски рассматриваются как самый большой тормоз на пути перехода к облачной парадигме ведения бизнеса. В то же время при грамотном подходе безопасность ИТ-ресурсов в публичных облаках может быть обеспечена на более высоком уровне, чем в локальных инфраструктурах.
 
Такой эффект достигается за счет быстроты безопасного запуска ИТ в облаках, которую обеспечивают нативные ИБ-инструменты, разработанные поставщиками облачных сервисов. Это позволяет развертывать средства контроля ИТ-систем в течение нескольких минут или часов. Функционал защиты часто встроен в облачные решения, благодаря чему ИБ-инструменты действуют проактивно – осуществляют упреждающий контроль для предотвращения случайных или злонамеренных инцидентов.
 
Кроме того, важные характеристики ИБ в облаках – автоматизация и масштабируемость. Автоматизация сокращает количество ручных операций и позволяет отказаться от выделения дополнительных ресурсов при масштабировании. В сумме это обеспечивает хорошую экономическую эффективность, когда глубокая проработка ИБ-задач с самого начала облачного проекта дает возможность избежать дополнительных расходов.
 
Барьер недоверия и как его преодолеть
 
Сегодня до 98% крупных компаний в мире используют публичное облако и локальные элементы ИТ-инфраструктуры в рамках комбинированных решений. При этом у 53% компаний больше половины совокупного объема инфраструктуры размещается локально.
 
Тем не менее недоверие к облачным провайдерам сохраняется: «А что, если они похитят наши данные? А вдруг там не соблюдаются базовые правила доступа к оборудованию? Откуда мы знаем, как в облаке организована работа с данными и приложениями разных клиентов?» и т.д. Подобные вопросы способствуют формированию ряда мифов, касающихся публичных облачных платформ. 
 
Объем инвестиций провайдеров в инфраструктуру и ресурсы на порядки превышает размер потенциальной выгоды от систематических краж баз данных о клиентах или транзакциях бизнеса. Соотношение миллиардных инвестиций в дата-центры, «железо», софт, сеть, инженерные системы и персонал, репутационные риски и стоимость базы крупной компании – величины несопоставимые. 
 
Остальные мифы опровергаются с помощью четкого разделения ответственности за доступ к различным элементам ИТ-системы клиента, определения сценариев авторизованного доступа к ним, продуманной архитектуры и, конечно, встроенных средств защиты облачной платформы для критически важных данных и приложений. 
 
Так, детализация ИБ-угроз, проработанная на фазе проекта совместно со специалистами провайдера, позволяет построить оптимальную архитектуру облачного или гибридного приложения, которая нейтрализует большинство существующих угроз.
 
Что касается процессуальных рисков, включая активность злонамеренных инсайдеров на стороне провайдера, то здесь гарантию дает соответствие нормативным требованиям и стандартам управления – как общим (например, законодательству о персональных данных, ISO 27001), так и отраслевым (PCI DSS, Uptime Tier, Uptime M&O и проч.). В совокупности их наличие подтверждает зрелость процессов и мер защиты на стороне провайдера. 
 
Добиться аналогичного уровня управления и безопасности ИТ-инфраструктуры самостоятельно сегодня очень дорого. При грамотном разграничении ответственности и правильной настройке оборудования и софта в облаке достигается высокий уровень безопасности инфраструктуры.
 
Стратегический подход
 
Обеспечить максимальный уровень ИБ при внедрении облаков поможет продуманная и согласованная облачная стратегия, представляющий собой общий взгляд разных подразделений компании на облако и его роль в развитии бизнеса. Это подробный документ, утвержденный руководителями разных департаментов, постоянно обновляемый с учетом развития технологий, требований регуляторов и самой компании.
 
В стратегии облачные перспективы развития компании учитывают ее прочие устремления. Она обязательно фокусируется на улучшении бизнес-результатов, задает основные правила игры и определяет принципы управления в том, что касается облака во всех его проявлениях (IaaS, PaaS, SaaS). 
 
Разработка ИБ-стратегии облачного развития бизнеса состоит из четырех шагов, которые позволяют обеспечить безопасность приложений и данных компании в облаке.
  1. Определите текущий ИБ-уровень организации. Непредвзятое изучение и выявление имеющихся недостатков и уязвимостей поможет спроектировать архитектуру ИБ-решения с учетом всех возможных рисков. На этой основе можно разрабатывать «дорожную карту» для обеспечения базовой безопасности облачных сред, оптимизируя инвестиции в ИТ.
  2. Автоматизируйте базовые ИБ-инструменты. Ускорьте получение положительных результатов за счет автоматизации развертывания ИБ-периметра для собственных облачных служб, включая как частные, так и публичные облачные среды. 
  3. Обеспечьте соответствие нормативным требованиям. Снижение рисков при работе в облачных средах включает соблюдение нормативных требований регуляторов. В разных странах они различаются. Эти нюансы необходимо четко представлять и уверенно в них ориентироваться. 
  4. Используйте ИБ-мониторинг и средства реагирования. Осуществляйте мониторинг облачных ресурсов с помощью инструментов безопасности согласно сценариям противодействия меняющимся угрозам и сложным нормативным требованиям.
В качестве ориентиров можно взять такие характеристики ИТ-системы в облаке, как минимальный прямой доступ к данным, настроенные согласованные политики для частного и публичного облаков (если речь идет о гибридной схеме), а также гранулярный доступ к ИТ-системам в минимально необходимом объеме только авторизованным пользователям при возникновении необходимости.
 
Автор: Андрей Тимошенко, руководитель ИБ-практики в России, Accenture
Источник: Иксмедиа

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 

Как строить личный бренд в 2024 году? Запись вебинара iTrend и РБК Компании

12 марта 2024

27 февраля 2024 года коммуникационное агентство iTrend и сервис РБК Компании провели вебинар «Новая искренность 2.0. Почему личный бренд — это тренд 2024?».

 

Проект «Облакотеки» и iTrend номинирован на премию «ЦОДы.РФ» в номинации «Креатив года»

12 марта 2024

Telegram-канал КучевыеАйТи, проект разработчика облачных сервисов «Облакотека» и коммуникационного агентства iTrend, номинирован на национальную премию «ЦОДы.РФ».

 
Все новости iTrend