2017 年 3 月 22 日

管理云中数据安全的三个关键

By Vicki Humphrey

管理云中数据安全的三个关键扫描今天的任何商业或技术期刊,您会发现越来越多且令人印象深刻的理由将至少部分业务迁移到云:更大的存储、更好的生产力和协作、更低的 IT 成本和更快的上市时间。但是,如果您仍然关注将公司数据从您的直接控制之外转移到云中所涉及的风险,那么您并不孤单。

最近的一项调查显示,压倒性的 93% 的受访者担心云安全.另一个表明 60% 的企业正在为云采用踩刹车 因为有关数据安全和隐私的问题。

当然,识别和考虑如何管理风险总是至关重要的,但这不应阻止您继续推进云计划。相反,将您的担忧作为提示来检查您的公司计划如何使用云以及需要采取哪些措施来确保您的数据安全。

你担心什么?                           

IT 团队通过了解哪些数据是敏感的、存储在何处以及谁有权访问来确保数据安全。但随着数据和应用程序迁移到云端,这些细节变得越来越难以确定。

缺乏可见性

员工能够自己轻松安装应用程序的缺点是,IT 甚至可能不知道敏感数据何时移至云端。如果 IT 不知道数据已经移动,他们如何确保适当的保护措施到位?例如,自行设置 NetSuite 的会计团队可能会选择允许不当访问财务数据的用户设置。同样,使用 Dropbox 的员工可以轻松地将机密文件存储在不安全的公共文件夹中。

失控

将公司数据迁移到云端会引发一些大问题。例如:

  • 云服务提供商组织内的哪些人和多少人可以访问?
  • 数据丢失后将在哪里存储、备份或恢复?
  • 不再需要的数据会怎样?
  • 谁拥有提供商存储的敏感数据和知识产权?

对多租户的担忧

当公司在云中共享基础架构、数据或应用程序时,会出现其他问题。例如:

  • 使用共享服务的其他组织可以访问您的数据吗?
  • 共享服务提供商是否控制薄弱,可能会为攻击您的数据创造途径?

您的云服务提供商可能拥有比您更多的资源来承担安全问题,因此对云中的数据安全负有一定的责任。但可以理解,这种责任仅限于提供商可以控制的事情,例如他们自己的服务器或其他云基础设施组件。现实情况是,虽然您可能会与您的云提供商签署协议,声明您将共同保护您的数据,但最终大部分责任在于您。这就是为什么尽自己的一份力量来确保您的数据安全很重要。

以下是管理云中风险的 3 个关键

1. 重新获得对数据的可见性

首先在您自己的公司内询问以下问题,以帮助确定您的数据安全风险。

  • 人们是否已经在使用云服务?如果是这样,为什么?
  • 是否有任何公司数据已驻留在云中?
  • 如果迁移到云的工作正在进行中,谁负责选择供应商并决定将迁移哪些数据?

接下来,确保您了解与在公共云中存储不同类型的信息相关的风险。例如,将上市公司之前披露的财务数据存储在云中可能没问题,但在允许机密财务数据移出前提之前,您需要三思。

您还应该清楚地了解可能影响您存储数据的位置的任何合规性限制。哪些规则和法规适用于您的公司、客户和行业?例如,医院和保险公司必须遵守健康保险流通与责任法案 (HIPAA),该法案要求对动态和静止数据进行加密。任何处理信用卡信息的公司都必须遵守支付卡行业数据安全标准 (PCI),欧洲的公司需要注意欧盟数据保护法中规定的严格标准。您甚至可能有一些客户的服务级别协议 (SLA) 根本不允许云计算。

一旦您了解了公司的合规性要求,下一步就是建立或加强您的数据安全策略。使用广为接受的安全标准将为制定和适当维护您的安全策略提供指导和坚实的基础。 ISO27001/2 是一个被广泛使用的标准,但拥有政府合同的公司可能希望研究 NIST 网络安全框架和 FedRAMP 要求。医疗保健领域的企业应该另外考虑 HIPAA,电子商务公司将需要考虑增加 PCI 要求。

对更安全地管理数据的员工产生最直接影响的安全策略之一是数据分类。它按敏感度级别对数据进行排名,并说明如何根据此类排名(类别)处理数据。例如,通常归类为机密信息的个人身份信息可能包括无法通过电子邮件发送和/或无法在未加密的情况下存储在云中的处理程序。通常以表格形式记录,员工在处理非公开数据时可以很容易地参考表格并相应地处理数据。最后,建立一个机制来监控对这些控制的遵守情况,以便您知道如何以及何时调整它们。

2. 进行尽职调查

处理失去物理、本地控制权的最佳方法是选择一个稳定、可靠的服务提供商,它至少可以尽可能地保护您的数据。首先审查提供商的安全状况,包括技术架构、加密、审计程序、数据所有权和删除政策,以及业务连续性和灾难恢复计划。

当您开始评估服务提供商时,请使用以下问题来帮助指导您的决策:

  • 这些控制措施是否到位和运行?
  • 是否有任何差距或例外?
  • 还要考虑业务实践——例如,提供商如何筛选新员工并处理身份和访问管理?
  • 它们是否符合符合您的合规性需求的 PCI 或 ISO 等标准?
  • 他们的财务稳定吗?

评估提供商安全状况的最有效方法之一是审查其独立报告,例如服务组织控制 (SOC) 或安全评估报告。如果他们不可用,请提出您自己的问题并验证答复或转移到其他提供商。

在签署协议之前,请确保您看到合同中反映的此信息,然后至少每年继续监视和审查他们的安全状况。如果您使用多个云提供商,密切关注这些细节尤为重要。不要忘记您的提供商正在使用的子服务提供商。请记住,您的数据安全性取决于您最薄弱的环节。

3. 解决多租户问题

解决这个问题首先要了解云计算在管理多租户方面已经并将继续成熟——尤其是当涉及到企业提供商时,例如 亚马逊 and 微软.但是,并非每个人都能负担得起这些服务,因此确保较小的提供商能够可靠地阻止其他客户访问您的数据非常重要。

订阅托管在云中的软件(软件即服务,或 SaaS)的公司应该寻找数据库分段,而使用基础设施即服务 (IaaS) 的公司应该寻找管理程序级别的虚拟机分离,以及明确的解释如何实现这种分离。此信息将帮助您了解您的云提供商对您的数据的责任在哪里结束和您的数据开始。

把这一切结合在一起

尽管围绕云中数据安全的风险无可争议地真实存在,但云计算已经走过了漫长的道路——供应商现在在管理这些风险方面拥有更多的专业知识。密切关注您的公司和您的服务提供商如何处理云中的数据,将帮助您制定强大的风险管理策略来解决您的所有问题 - 并保护您公司的信息,无论它位于何处。随着网络攻击的增加,您的公司也很可能在某个时候面临安全漏洞。因此,及时检测安全事件并制定可靠的安全事件响应计划至关重要。

如果你需要一些外界的帮助, 桥点咨询 拥有一支行业专家团队,可以帮助您应对云风险管理的复杂性。我们提供咨询服务,帮助各种规模的公司解决复杂的挑战并支持广泛的组织转型服务。详细了解我们全面的风险与合规服务 这里.

你可能也会喜欢:

跟着我们 推特 and 领英 获取帮助您发展和管理业务的最新见解、最佳实践和资源。

e世博手机app Vicki Humphrey

薇琪·汉弗莱 在管理网络安全和 IT 合规项目以及 IT 战略和系统开发项目方面拥有 20 多年的经验。作为 Bridgepoint 的高级经理 e世博手机app 在实践中,Vicki 帮助我们的客户制定网络安全战略和执行。

vhumphrey@bridgepointconsulting.com 最近的博客文章 领英 完整的生物