Сегодня суббота, 18.09.2021: публикаций: 45567
27.02.2020 11:26
Консультации.
Просмотров всего: 1488; сегодня: 1.

10 рекомендаций по защите облачных данных для компаний

10 рекомендаций по защите облачных данных для компаний

В корпоративном мире под понятие «конфиденциальность» попадают как данные сотрудников, так и данные, принадлежащие непосредственно компаниям, а также данные о клиентах/поставщиках — и компаниям необходимо защищать все типы данных. Такие законы, как CCPA (California Consumer Privacy Act) и GDPR (General Data Protection Regulation), не говоря уже о вертикальном регулировании рынка, проясняют, насколько важен вопрос сохранности конфиденциальности данных для контролирующих органов и, в частности, для отраслей в целом.

Поскольку процесс перехода предприятий к использованию «облачных» продуктов сохраняет устойчивый рост, сейчас самое лучшее время, чтобы разобраться во всех аспектах сбора, использования, хранения, передачи и обработки данных в «облаках».

1. Исследуйте теневые IT-службы (shadow IT), несанкционированных облачных провайдеров и их безопасность

Данные организации могут легко утекать через теневые облачные сервисы. Например, когда пользователи конвертируют в PDF телефонный список сотрудников, переводят с или на иностранный язык план проекта, используют облачный инструмент для презентаций или совместной работы. Компании несут ответственность за потерю данных по вине своих сотрудников, независимо от того, как это происходит. Поэтому ИТ-отделу необходимо иметь достаточно широкий оперативный обзор, чтобы видеть все облачные сервисы, которые используют сотрудники компании, даже те, которые созданы отдельными пользователями или их небольшими группами. После того, как вы получите полную картину того, какие облачные службы используются в компании, необходимо оценить их пользу и перевести часть из них, которая действительно приносит прибыль компании, в статус доверенных.

2. Интегрируйтесь с глобальной технологией единого входа (SSO).

Глобальная технология SSO гарантирует, что возможность доступа пользователя к службам, используемым в компании, включая «облака», будет отключена в момент, когда он покинет компанию. Также SSO уменьшает риск потери данных из-за повторного использования пароля. Если SSO не используется, довольно часто возникают ситуации, когда рядовые и не очень пользователи забывают свой пароль для доступа и нагружают работой по его восстановлению IT-службы. Поэтому SSO имеет дополнительное преимущество в виде снижения объема звонков и работы IT-отдела.

3. Работайте с GRC (Governance, Risc, Compliance), проводите лекции о том, как работникам пользоваться облаком.

GRC следует применять уже тогда, когда надо начать проектировать и вследствие этого задействовать политику использования облака. Зачастую компании не знают, как пользоваться облаком и какие данные в него загружать, поэтому политика является общей. Создайте команду, включающую пользователей, экспертов GRC и специалистов по IT-безопасности, чтобы разработать политику под реальные задачи. Необходимо установить, какие действия должны быть предприняты в каждом конкретном облачном сервисе, и гарантировать, что политика будет определена для всех возможных вариантов.

4. Изучите IaaS (Infrastructure as a Service), убедитесь, что DevOps инженер всё сделал правильно.

Самая быстрорастущая модель облачных сервисов — это IaaS: AWS, Azure и Google Cloud Platform. Здесь разработчикам очень легко неправильно настроить параметры и оставить данные открытыми для злоумышленников. Необходима технология для проверки всех служб IaaS (при анализе всегда находится что-то, о чём мы не подозревали) и их настроек — в идеале, это может быть система, которая автоматически меняет настройки для защиты параметров.

5. Будьте в курсе новейших технологий — бессерверные платформы, контейнерная виртуализация, облачные сервисы электронной почты и др.

Облако состоит из огромного количества различных технологий, которые постоянно развиваются и видоизменяются. Следовательно, безопасность тоже должна подстраиваться под изменяющуюся инфраструктуру. Разработчики часто находятся на передовой технического прогресса — вводят код из GitHub, работают с контейнерными системами, срок жизни которых может составлять всего несколько минут (даже на столь непродолжительное время требуется защита). Специалисты по IT-безопасности должны быть близкими друзьями с командой разработчиков для максимально продуктивного и приносящего пользу компании внедрения новейших технологий защиты от сложных современных угроз.

6. Интегрируйте новые технологии безопасности с существующими системами безопасного веб-доступа для предотвращения утечек информации (Data Leak Prevention) — не снижайте безопасность, инвестируя в «облака».

По прошествии 10 лет инвестирования времени и денег в безопасность, вы не захотите терять эти инвестиции при переходе в облако. По мере того, как системы и данные перемещаются в облако, необходимо внедрять технологии, которые могут интегрироваться с вашими существующими сервисами. Например, у вас не должно быть двух разных моделей предотвращения утечек информации (DLP), привязанных к разным информационным системам, которыми пользуются ваши сотрудники. Внедряйте системы, которые способны интегрироваться друг с другом, предпочтительно с системой управления, которая объединяет информацию из различных источников в различных приложениях на одном дисплее сотрудника отдела IT-безопасности.

7. Не думайте, что CSP (cloud services provider – облачный провайдер) будет хранить ваши данные вечно.

Если случится инцидент, вам нужно изучить его историю и причины потери данных. CSP редко сохраняют базы данных без ограничения по времени — проверьте, как долго CSP будет хранить данные журналов, согласно вашему договору на оказание услуг. Рассмотрите возможность иметь свою собственную базу для их локального хранения, чтобы можно было проводить самостоятельные расследования, даже если первоначальный инцидент с потерей данных произошел несколько лет назад.

8. Используйте разную политику в зависимости от месторасположения, устройства и т. д.

Когда данные хранятся на облаке, весь смысл заключается в том, чтобы облегчить глобальную работу. Но всегда ли это уместно? Например, если сотрудник хочет скачать конфиденциальный корпоративный документ через облачный сервис на незнакомое устройство? Учитывайте ситуации, с которыми могут столкнуться ваши сотрудники и сформируйте политику, обеспечивающую максимальный уровень безопасности с минимальным количеством сбоев.

9. Продвигайте облачные сервисы, которые нравятся вам.

Пряник работает лучше кнута в обучении пользователей. Не только блокируйте те сервисы, которые вам не нравятся, широко продвигайте облачные сервисы, которые вы одобряете. Те, которые соответствуют вашим потребностям в безопасности, вашим показателям производительности и возможностям. Продвигайте их через интрасеть, блоги и внутренний маркетинг, а также перенаправляйте запросы на не поддерживаемые сервисы обратно на те, что вам нравятся.

10. Конфиденциальность и безопасность — это ответственность каждого. Привлекайте другие отделы и пользователей.

Возможно, последнюю рекомендацию нужно было поставить первой. Используйте все доступные методы для обучения пользователей, но сначала поработайте с этими пользователями и их представителями над тем, чтобы выбрать подходящую политику. Цель — стимулировать клиентов использовать облачный сервис не только ради безопасности, а для их максимальной продуктивности. Обычно пользователи и сами имеют хорошее представление о сервисе, который хотят использовать, и знают, что да как. Поэтому просто помогите им определиться с политикой и научите работать с системой GRC.

Это примерный путь успешного нахождения безопасной облачной службы, а также обеспечение максимальной безопасности ваших пользователей и личных данных клиентов в 2020 году и в будущем.


Ньюсмейкер: McAfee — 35 публикаций. Вы можете направить ньюсмейкеру обращение, заявку
Сайт: www.mcafee.com
Поделиться:
Ваше мнение
Как Вы относитесь к обязательной вацинации?
 За
 Против
 Затрудняюсь ответить
Предложите опрос

Интересно:

Онлайн мастер-класс Navicon и Salesforce
18.09.2021 14:02 Мероприятия
Онлайн мастер-класс Navicon и Salesforce
Приглашаем топ-менеджеров бизнеса и ИТ-директоров на онлайн мастер-класс Navicon и Salesforce: цифровая экосистема как живой организм. На мероприятии мы расскажем, как выстроить экосистему так, чтобы каждый ее элемент решал поставленные бизнес-задачи. Мероприятие состоится 29 сентября в 10:00...
Татьяна Голикова встретилась с национальной сборной WorldSkills Russia
17.09.2021 17:21 Мероприятия
Татьяна Голикова встретилась с национальной сборной WorldSkills Russia
Заместитель Председателя Правительства Татьяна Голикова встретилась с участниками национальной сборной WorldSkills Russia в «Точке кипения» в Москве. В ближайшие дни 57 конкурсантов со всей страны отправятся в австрийский город Грац, чтобы побороться за медали чемпионата Европы по...
Два главных правила индексации зарплаты в 2021 году
17.09.2021 10:13 Мероприятия
Два главных правила индексации зарплаты в 2021 году
Недавно разработан проект закона, который может привязать индексацию к прибыли компании или риску банкротства. В любом случае она остается обязательной, так как этого требует ТК РФ. Но как ее проводить правильно, если больше закон ничего не поясняет? Этому был посвящен новый вебинар BLS 16...
«Транснефть – Балтика» выпустила стерлядь в Угличское водохранилище
17.09.2021 09:32 Новости
«Транснефть – Балтика» выпустила стерлядь в Угличское водохранилище
ООО «Транснефть – Балтика» выпустило более 5,3 тыс мальков стерляди в Угличское водохранилище на территории Тверской области. Выпуск состоялся на центральной набережной г. Калязина. Водоем, в котором будут жить рыбы, выбран по согласованию с территориальным подразделением Росрыболовства...
Стало известно, как россияне будут отдыхать в 2022 году
17.09.2021 09:07 Документы
Стало известно, как россияне будут отдыхать в 2022 году
Председатель Правительства Михаил Мишустин подписал постановление о переносе выходных дней в 2022 году. В новом году 1 и 2 января выпадают на субботу и воскресенье. Так как это нерабочие праздничные дни, их решено перенести на вторник, 3 мая, и вторник, 10 мая, соответственно. Кроме того, нерабочая...