27.02.2020 11:26
Консультации.
Просмотров всего: 2505; сегодня: 1.

10 рекомендаций по защите облачных данных для компаний

10 рекомендаций по защите облачных данных для компаний

В корпоративном мире под понятие «конфиденциальность» попадают как данные сотрудников, так и данные, принадлежащие непосредственно компаниям, а также данные о клиентах/поставщиках — и компаниям необходимо защищать все типы данных. Такие законы, как CCPA (California Consumer Privacy Act) и GDPR (General Data Protection Regulation), не говоря уже о вертикальном регулировании рынка, проясняют, насколько важен вопрос сохранности конфиденциальности данных для контролирующих органов и, в частности, для отраслей в целом.

Поскольку процесс перехода предприятий к использованию «облачных» продуктов сохраняет устойчивый рост, сейчас самое лучшее время, чтобы разобраться во всех аспектах сбора, использования, хранения, передачи и обработки данных в «облаках».

1. Исследуйте теневые IT-службы (shadow IT), несанкционированных облачных провайдеров и их безопасность

Данные организации могут легко утекать через теневые облачные сервисы. Например, когда пользователи конвертируют в PDF телефонный список сотрудников, переводят с или на иностранный язык план проекта, используют облачный инструмент для презентаций или совместной работы. Компании несут ответственность за потерю данных по вине своих сотрудников, независимо от того, как это происходит. Поэтому ИТ-отделу необходимо иметь достаточно широкий оперативный обзор, чтобы видеть все облачные сервисы, которые используют сотрудники компании, даже те, которые созданы отдельными пользователями или их небольшими группами. После того, как вы получите полную картину того, какие облачные службы используются в компании, необходимо оценить их пользу и перевести часть из них, которая действительно приносит прибыль компании, в статус доверенных.

2. Интегрируйтесь с глобальной технологией единого входа (SSO).

Глобальная технология SSO гарантирует, что возможность доступа пользователя к службам, используемым в компании, включая «облака», будет отключена в момент, когда он покинет компанию. Также SSO уменьшает риск потери данных из-за повторного использования пароля. Если SSO не используется, довольно часто возникают ситуации, когда рядовые и не очень пользователи забывают свой пароль для доступа и нагружают работой по его восстановлению IT-службы. Поэтому SSO имеет дополнительное преимущество в виде снижения объема звонков и работы IT-отдела.

3. Работайте с GRC (Governance, Risc, Compliance), проводите лекции о том, как работникам пользоваться облаком.

GRC следует применять уже тогда, когда надо начать проектировать и вследствие этого задействовать политику использования облака. Зачастую компании не знают, как пользоваться облаком и какие данные в него загружать, поэтому политика является общей. Создайте команду, включающую пользователей, экспертов GRC и специалистов по IT-безопасности, чтобы разработать политику под реальные задачи. Необходимо установить, какие действия должны быть предприняты в каждом конкретном облачном сервисе, и гарантировать, что политика будет определена для всех возможных вариантов.

4. Изучите IaaS (Infrastructure as a Service), убедитесь, что DevOps инженер всё сделал правильно.

Самая быстрорастущая модель облачных сервисов — это IaaS: AWS, Azure и Google Cloud Platform. Здесь разработчикам очень легко неправильно настроить параметры и оставить данные открытыми для злоумышленников. Необходима технология для проверки всех служб IaaS (при анализе всегда находится что-то, о чём мы не подозревали) и их настроек — в идеале, это может быть система, которая автоматически меняет настройки для защиты параметров.

5. Будьте в курсе новейших технологий — бессерверные платформы, контейнерная виртуализация, облачные сервисы электронной почты и др.

Облако состоит из огромного количества различных технологий, которые постоянно развиваются и видоизменяются. Следовательно, безопасность тоже должна подстраиваться под изменяющуюся инфраструктуру. Разработчики часто находятся на передовой технического прогресса — вводят код из GitHub, работают с контейнерными системами, срок жизни которых может составлять всего несколько минут (даже на столь непродолжительное время требуется защита). Специалисты по IT-безопасности должны быть близкими друзьями с командой разработчиков для максимально продуктивного и приносящего пользу компании внедрения новейших технологий защиты от сложных современных угроз.

6. Интегрируйте новые технологии безопасности с существующими системами безопасного веб-доступа для предотвращения утечек информации (Data Leak Prevention) — не снижайте безопасность, инвестируя в «облака».

По прошествии 10 лет инвестирования времени и денег в безопасность, вы не захотите терять эти инвестиции при переходе в облако. По мере того, как системы и данные перемещаются в облако, необходимо внедрять технологии, которые могут интегрироваться с вашими существующими сервисами. Например, у вас не должно быть двух разных моделей предотвращения утечек информации (DLP), привязанных к разным информационным системам, которыми пользуются ваши сотрудники. Внедряйте системы, которые способны интегрироваться друг с другом, предпочтительно с системой управления, которая объединяет информацию из различных источников в различных приложениях на одном дисплее сотрудника отдела IT-безопасности.

7. Не думайте, что CSP (cloud services provider – облачный провайдер) будет хранить ваши данные вечно.

Если случится инцидент, вам нужно изучить его историю и причины потери данных. CSP редко сохраняют базы данных без ограничения по времени — проверьте, как долго CSP будет хранить данные журналов, согласно вашему договору на оказание услуг. Рассмотрите возможность иметь свою собственную базу для их локального хранения, чтобы можно было проводить самостоятельные расследования, даже если первоначальный инцидент с потерей данных произошел несколько лет назад.

8. Используйте разную политику в зависимости от месторасположения, устройства и т. д.

Когда данные хранятся на облаке, весь смысл заключается в том, чтобы облегчить глобальную работу. Но всегда ли это уместно? Например, если сотрудник хочет скачать конфиденциальный корпоративный документ через облачный сервис на незнакомое устройство? Учитывайте ситуации, с которыми могут столкнуться ваши сотрудники и сформируйте политику, обеспечивающую максимальный уровень безопасности с минимальным количеством сбоев.

9. Продвигайте облачные сервисы, которые нравятся вам.

Пряник работает лучше кнута в обучении пользователей. Не только блокируйте те сервисы, которые вам не нравятся, широко продвигайте облачные сервисы, которые вы одобряете. Те, которые соответствуют вашим потребностям в безопасности, вашим показателям производительности и возможностям. Продвигайте их через интрасеть, блоги и внутренний маркетинг, а также перенаправляйте запросы на не поддерживаемые сервисы обратно на те, что вам нравятся.

10. Конфиденциальность и безопасность — это ответственность каждого. Привлекайте другие отделы и пользователей.

Возможно, последнюю рекомендацию нужно было поставить первой. Используйте все доступные методы для обучения пользователей, но сначала поработайте с этими пользователями и их представителями над тем, чтобы выбрать подходящую политику. Цель — стимулировать клиентов использовать облачный сервис не только ради безопасности, а для их максимальной продуктивности. Обычно пользователи и сами имеют хорошее представление о сервисе, который хотят использовать, и знают, что да как. Поэтому просто помогите им определиться с политикой и научите работать с системой GRC.

Это примерный путь успешного нахождения безопасной облачной службы, а также обеспечение максимальной безопасности ваших пользователей и личных данных клиентов в 2020 году и в будущем.


Ньюсмейкер: McAfee — 35 публикаций
Сайт: www.mcafee.com
Поделиться:

Интересно:

География фольклора: место действия мифов и сказок
28.12.2024 17:52 Аналитика
География фольклора: место действия мифов и сказок
В славянских мифах и сказках встречались реальные географические точки: богатыри охраняли заставы крупных городов, герои отправлялись в плавание по Волге-матушке, а князья царствовали в своих землях — Новгороде, Суздале и Москве...
В метро Москвы курсирует поезд, посвященный 100-летию Театра сатиры
28.12.2024 17:20 Новости
В метро Москвы курсирует поезд, посвященный 100-летию Театра сатиры
В московском метро появился новый тематический поезд. Он посвящен вековому юбилею Московского академического театра сатиры и будет курсировать в течение полугода. Каждый из пяти вагонов состава рассказывает об одном из 20-летних периодов жизни коллектива. Кроме того...
Как праздновали Новый год и Рождество в XIX веке
28.12.2024 13:31 Аналитика
Как праздновали Новый год и Рождество в XIX веке
Свечи вместо гирлянд, колядки вместо телевизора и письма вместо звонков: как отмечали новогодние праздники в XIX веке. В гости 1 января Традиция длинных новогодних праздников в России зародилась давно. В XIX веке торжества затевали с приходом Святок, целой череды...
Деньги маслом не испортишь
27.12.2024 17:50 Аналитика
Деньги маслом не испортишь
Люди по-разному относятся к деньгам. Для одних это лишь средство к существованию, для других — вопрос личного статуса, для третьих — путь к роскошной жизни. Едва ли не половина мировой литературы посвящена этическим, практическим и символическим аспектам финансового...
Среди крестьян я чувствовала себя настоящим человеком
27.12.2024 12:59 Персоны
Среди крестьян я чувствовала себя настоящим человеком
Невероятная судьба царской сестры Великой княгини Ольги Александровны Романовой (1882–1960). В сказках Золушки становятся принцессами, а в реальной жизни бывает так, что настоящая принцесса становится Золушкой: сама стирает, стряпает обед и копает грядки. Такая метаморфоза произошла с Ольгой...