Кто сейчас отвечает за облачную безопасность?

Использование облачных сервисов во многих случаях получает поддержку управления. Однако такое оптимистичное отношение отсутствует в ИТ-отделах. Спонсируемый Lumension отчет Ponemon 2014 State of Endpoint Risk предполагает, что использование облачных вычислений, будь то при поддержке компании или сотрудников, увеличило беспокойство среди респондентов опроса - 19 001 ИТ-специалистов в Соединенных Штатах. На приведенном ниже слайде показано, что 44 процента респондентов (рост на 16 процентов с 2012 по 2013 год) назвали использование ресурсов облачных вычислений основной проблемой. ИТ-персонал привел множество проблем, связанных с облачными вычислениями.

Источник: Отчет о состоянии конечной точки за 2014 год.

Кто отвечает за данные в облаке?

Доклад Ponemon отразил многое из того, что эксперты по безопасности говорили в течение последних нескольких лет. Что меня интересует, кто ответственен? Кто виноват, если что-то случится с данными компании, когда они в облаке? Можно ожидать всевозможных упоминаний об этом, но это не так. Незначительные дискуссии об ответственности начали возникать два или три года назад. Однако «покупатель остерегался» был единственным реальным выводом.

Учитывая растущую обеспокоенность ИТ-персонала, было бы неплохо проверить, изменилось ли что-нибудь в отделе ответственности. Еще в 2012 году я взял интервью у нескольких руководителей высшего звена. Во время интервью я спросил, кто, по их мнению, отвечает за защиту данных компаний-резидентов. Каждый руководитель полагал, что безопасность данных больше не была их заботой, когда данные были на чужих серверах.

Статья Businessweek 2012 года Кто отвечает за защиту данных в облаке? Сара Фриер подтвердила мой ненаучный опрос. В статье Фриер цитирует Марио Сантана из Verizon Communication, который сказал: «Некоторые предприятия ошибочно полагают, что, решив хранить данные на внешних серверах, им больше не нужно заботиться о защите этой информации».

На основании выводов Ponemon и Businessweek разногласия между руководителями уровня C и ИТ-отделами в 2012 году стали очевидными. Перенесемся на два года вперед, и то, что руководители бизнеса и ИТ-специалисты говорят о безопасности и кто отвечает за данные компании, которые доверены поставщику облачных услуг, изменилось.

Что отличается в 2014 году?

В апреле 2014 года Институт Ponemon выпустил свое третье ежегодное исследование Trends in Cloud Encryption, спонсором которого является Thales e-Security. В опросе Ponemon приняли участие 4275 бизнес-менеджеров и ИТ-менеджеров в США, Великобритании, Германии, Франции, Австралии, Японии, Бразилии и России. Основным направлением исследования было изучение того, как организации защищают свои данные, когда они предоставляются поставщикам облачных услуг.

Исследователи Ponemon задали участникам два вопроса, которые важны для этой дискуссии:

• Какой процент организаций передает конфиденциальные или конфиденциальные данные внешним облачным службам?
• Кто несет наибольшую ответственность за защиту конфиденциальных или конфиденциальных данных, передаваемых поставщику облачных услуг?

Во-первых, давайте посмотрим, какой процент организаций отправляет конфиденциальные и конфиденциальные данные поставщикам облачных услуг. На слайде ниже показано, что в 2013 году 53 процента опрошенных передавали конфиденциальные данные в облако, 36 процентов делали это в течение двух лет, а 11 процентов не использовали поставщиков облачных услуг. Что интересно, результаты за последние три года остались схожими.

Источник: Trends In Cloud Encryption

Затем, в 2013 году, кто в наибольшей степени отвечал за защиту конфиденциальных или конфиденциальных данных, передаваемых поставщику облачных услуг? По-разному. Участники опроса заявили, что ответственность зависит от типа предоставляемого облачного сервиса - SaaS или IaaS / PaaS. На слайде ниже представлены мнения респондентов о том, кто несет ответственность за использование компанией SaaS-среды. В 2013 году 54% считают, что поставщик облачных услуг отвечает за безопасность, а 24% считают пользователей облачных сервисов ответственными, в то время как 19% считают, что ответственность следует разделить. (Узнайте больше о выборе между IaaS и PaaS: что вам нужно знать.)

Источник: Trends In Cloud Encryption

На следующем слайде изображено мнение респондента о том, кто несет ответственность за использование компанией среды IaaS / PaaS. В 2013 году 47 процентов считали безопасность общей ответственностью, 26 процентов - пользователями облачных услуг, а 22 процента - ответственностью поставщика облачных услуг.

Источник: Trends In Cloud Encryption

Суть? Времена изменились. Похоже, что отношение «покупатель остерегается» созрело вместе с продуктами облачных сервисов. Но, как сказал мне интернет-адвокат, обязанности определяются контрактами, ни больше, ни меньше. Об этом следует помнить всем, кто связан с облачными сервисами.