10 рекомендаций по защите облачных данных для компаний
Компания: McAfee
В корпоративном мире под понятие «конфиденциальность» попадают как данные сотрудников, так и данные, принадлежащие непосредственно компаниям, а также данные о клиентах/поставщиках — и компаниям необходимо защищать все типы данных.
Поскольку процесс перехода предприятий к использованию «облачных» продуктов сохраняет устойчивый рост, сейчас самое лучшее время, чтобы разобраться во всех аспектах сбора, использования, хранения, передачи и обработки данных в «облаках».
1. Исследуйте теневые IT-службы (shadow IT), несанкционированных облачных провайдеров и их безопасность
Данные организации могут легко утекать через теневые облачные сервисы. Например, когда пользователи конвертируют в PDF телефонный список сотрудников, переводят с или на иностранный язык план проекта, используют облачный инструмент для презентаций или совместной работы. Компании несут ответственность за потерю данных по вине своих сотрудников, независимо от того, как это происходит. Поэтому ИТ-отделу необходимо иметь достаточно широкий оперативный обзор, чтобы видеть все облачные сервисы, которые используют сотрудники компании, даже те, которые созданы отдельными пользователями или их небольшими группами. После того, как вы получите полную картину того, какие облачные службы используются в компании, необходимо оценить их пользу и перевести часть из них, которая действительно приносит прибыль компании, в статус доверенных.
2. Интегрируйтесь с глобальной технологией единого входа (SSO)
Глобальная технология SSO гарантирует, что возможность доступа пользователя к службам, используемым в компании, включая «облака», будет отключена в момент, когда он покинет компанию. Также SSO уменьшает риск потери данных из-за повторного использования пароля. Если SSO не используется, довольно часто возникают ситуации, когда рядовые и не очень пользователи забывают свой пароль для доступа и нагружают работой по его восстановлению IT-службы. Поэтому SSO имеет дополнительное преимущество в виде снижения объема звонков и работы IT-отдела.
3. Работайте с GRC (Governance, Risc, Compliance), проводите лекции о том, как работникам пользоваться облаком
GRC следует применять уже тогда, когда надо начать проектировать и вследствие этого задействовать политику использования облака. Зачастую компании не знают, как пользоваться облаком и какие данные в него загружать, поэтому политика является общей. Создайте команду, включающую пользователей, экспертов GRC и специалистов по IT-безопасности, чтобы разработать политику под реальные задачи.
4. Изучите IaaS (Infrastructure as a Service), убедитесь, что DevOps инженер всё сделал правильно
Самая быстрорастущая модель облачных сервисов — это IaaS: AWS, Azure и Google Cloud Platform. Здесь разработчикам очень легко неправильно настроить параметры и оставить данные открытыми для злоумышленников. Необходима технология для проверки всех служб IaaS (при анализе всегда находится что-то, о чём мы не подозревали) и их настроек — в идеале, это может быть система, которая автоматически меняет настройки для защиты параметров.
5. Будьте в курсе новейших технологий — бессерверные платформы, контейнерная виртуализация, облачные сервисы электронной почты и др.
Облако состоит из огромного количества различных технологий, которые постоянно развиваются и видоизменяются. Следовательно, безопасность тоже должна подстраиваться под изменяющуюся инфраструктуру.
6. Интегрируйте новые технологии безопасности с существующими системами безопасного веб-доступа для предотвращения утечек информации (Data Leak Prevention) — не снижайте безопасность, инвестируя в «облака»
По прошествии 10 лет инвестирования времени и денег в безопасность, вы не захотите терять эти инвестиции при переходе в облако. По мере того, как системы и данные перемещаются в облако, необходимо внедрять технологии, которые могут интегрироваться с вашими существующими сервисами.
7. Не думайте, что CSP (cloud services provider – облачный провайдер) будет хранить ваши данные вечно
Если случится инцидент, вам нужно изучить его историю и причины потери данных. CSP редко сохраняют базы данных без ограничения по времени — проверьте, как долго CSP будет хранить данные журналов, согласно вашему договору на оказание услуг. Рассмотрите возможность иметь свою собственную базу для их локального хранения, чтобы можно было проводить самостоятельные расследования, даже если первоначальный инцидент с потерей данных произошел несколько лет назад.
8. Используйте разную политику в зависимости от месторасположения, устройства и т.д.
Когда данные хранятся на облаке, весь смысл заключается в том, чтобы облегчить глобальную работу. Но всегда ли это уместно? Например, если сотрудник хочет скачать конфиденциальный корпоративный документ через облачный сервис на незнакомое устройство? Учитывайте ситуации, с которыми могут столкнуться ваши сотрудники и сформируйте политику, обеспечивающую максимальный уровень безопасности с минимальным количеством сбоев.
9. Продвигайте облачные сервисы, которые нравятся ВАМ
Пряник работает лучше кнута в обучении пользователей. Не только блокируйте те сервисы, которые вам не нравятся, широко продвигайте облачные сервисы, которые вы одобряете. Те, которые соответствуют вашим потребностям в безопасности, вашим показателям производительности и возможностям. Продвигайте их через интрасеть, блоги и внутренний маркетинг, а также перенаправляйте запросы на неподдерживаемые сервисы обратно на те, что вам нравятся.
10. Конфиденциальность и безопасность — это ответственность каждого. Используйте все доступные методы для обучения пользователей, но сначала поработайте с этими пользователями и их представителями над тем, чтобы выбрать подходящую политику. Цель — стимулировать клиентов использовать облачный сервис не только ради безопасности, а для их максимальной продуктивности. Обычно пользователи и сами имеют хорошее представление о сервисе, который хотят использовать, и знают, что да как. Поэтому просто помогите им определиться с политикой и научите работать с системой GRC.