Descarcati raportul 

 

Platformele care furnizează soluții Cloud au introdus riscuri și cerințe de reglementare noi, cu impact în organizații ce operează în toate industriile și zonele geografice, arată un nou studiu realizat de Oracle și KPMG.
Majoritatea organizațiilor se străduiesc să pună la punct standarde și măsuri cu privire la securitatea în Cloud care să fie aliniate cu standardele interne deja încetățenite. Aceste provocări strategice și operaționale trebuie să adreseze în mod consistent riscurile la care se supune o organizație deoarece fiecare platformă și furnizor de servicii Cloud au propriile cerințe și standarde cu privire la securitatea cibernetică. În încercarea de a grăbi adoptarea soluțiilor Cloud, acei lideri și manageri cărora le lipsesc cunoștințele despre securitatea cibernetică, neglijează destul de des să implementeze controale și măsuri esențiale datorită unei înțelegeri greșite și generalizate că măsurile de securitate oferite de furnizorii de soluții Cloud sunt suficiente pentru a le proteja afacerea.

Responsabilitate de ambele părți, afirmă Gabriel Mihai Tanase, Directorul responsabil cu serviciile de Securitate Cibernetică oferite de KPMG în România. Dincolo de a se asigura ca riscurile sunt cunoscute și mitigate, iar cerințele de conformitate sunt adresate, liderii companiilor din România și de oriunde trebuie să înțeleagă și să accepte responsabilitatea fiecăruia pentru protejarea afacerii. Așadar, atât directorii executivi și managerii de departamente, fie că sunt din departamentul Financiar, Resurse Umane, Risc sau IT sunt responsabili să asigure că organizația are un program de Securitate cibernetică care adresează atât riscurile clasice cât și riscurile generate de folosirea soluțiilor Cloud, continuă el.

Furnizorii de soluții Cloud și-au asumat responsabilități minime cu privire la securitate dar clienții (organizațiile care folosesc soluțiile Cloud) sunt în ultimă instanță responsabili pentru asigurarea securității cibernetice și pentru gestionarea riscurilor și a aspectelor ce țin de conformitate și reglementări în vigoare. Deoarece folosirea din ce în ce mai intensivă a soluțiilor Cloud aduce cu sine noi amenințări, companiile trebuie sa analizeze în mod continuu modul în care au implementat măsurile tradiționale de protecție, precum soluții firewall, controale de acces, jurnalizarea evenimentelor la nivelul sistemelor informatice etc. și să se asigure că rămân operaționale și actualizate.

Directorii trebuie să înfrunte această nouă realitate cât mai rapid prin alocarea unei echipe dedicate (sau măcar o persoană), să înțeleagă cerințele cu privire la responsabilitatea ambelor părți implicate și să pună în practică un cadru de lucru care să ajute la protejarea organizației de amenințările cibernetice. Mai mult, pentru a proteja organizația, este critic ca orice angajat să fie educat cu privire la riscurile generate de folosirea soluțiilor Cloud, să cunoască și să respecte politicile implementate pentru a adresa aceste riscuri.

Studiul KPMG și Oracle arată că în continuare este spațiu de îmbunătățire în aceasta zonă deoarece atât indivizii (angajații), departamentele și liniile de business din cadrul organizațiilor încalcă destul de des politicile cu privire la folosirea serviciilor în Cloud.

Dar cum impactează reglementările în domeniu datele stocate în Cloud?

GDPR are un efect direct pentru orice organizație ce folosește servicii în Cloud, comentează Gheorghe Vlad, Senior Manager responsabil cu serviciile de Protecția Informațiilor și Continuitatea Afacerii oferite de KPMG clienților în Romania. GDPR introduce procese și cerințe complexe cu privire la procesarea datelor cu caracter personal al cetățenilor UE și în consecință va afecta toate organizațiile care folosesc servicii Cloud. În lumina GDPR, organizațiile trebuie să înțeleagă daca furnizorul de soluții Cloud folosește bune practici esențiale atunci când vine vorba de securitatea datelor precum segregarea responsabilităților, identificarea și clasificarea datelor (pentru a facilita „dreptul de a fi uitat”, conform GDPR), criptarea sau pseudo-anonimizarea datelor și altele, după cum este nevoie, continuă el.

Ca urmare, furnizorii de soluții Cloud pot fi puși în situația să implementeze aceste măsuri (și altele) pentru a asigura conformitatea nu doar cu GDPR, dar și cu alte cerințe de reglementare aplicabile pentru fiecare tip de organizație (de exemplu, Autoritatea Bancară Europeană a emis un set de recomandări care ar trebui urmărite de Bănci atunci când externalizează servicii în Cloud).

Ameninințări din afara sau din interiorul organizației

În timp ce hackerii sunt principala grijă printre specialiștii în securitate cibernetică, studiul a scos la lumină că aceștia sunt de asemenea îngrijorați de riscurile asociate amenințărilor care vin din interiorul organizației. În timp ce amenințările interne sunt de cele mai multe ori situații în care credențialele de acces ale unui utilizator sunt furate iar angajatul devine (fără voia lui și fără să știe) doar un punct de acces pentru un hacker extern, amenințarea cu adevărat serioasă este mult mai dificil de detectat.

Adevăratul infractor cibernetic din interiorul organizației, în funcție și de obiectivul urmărit, folosește cunoștințele despre organizație și privilegiile avute pentru a fura informații fără a fi detectat sau mai mult, pentru a produce întreruperi în operațiunile companiei.

Chiar dacă punem la punct o structură perfectă de apărare împotriva infractorilor cibernetici din afara organizației, sunt puține lucruri pe care le putem face pentru a ne apăra de cei care trăiesc și lucrează cu noi zi de zi, comentează Gabriel Tănase. În primul rând ar trebui ar trebui să ne pregătim angajații și să îi facem conștienți de responsabilitățile lor cu privire la politicile interne ale companiei, deoarece majoritatea incidentelor generate din interiorul organizației apar datorită faptului că oamenii nu știu ce este bine și ce este rău, continuă el. Ulterior, putem implementa măsuri tehnice specifice, precum autentificare adaptivă, care cere utilizatorului folosirea unui al doilea factor de autentificare bazat pe context (pentru a preveni apariția și proliferarea amenințărilor generate din interiorul organizației) sau o monitorizare continuă pentru identificarea activităților care ies din tiparul obișnuit și alertarea echipelor de protecție cibernetică a activităților posibil malițioase, conchide Gabriel.

Lipsa vizibilității rămâne principala provocarea în adoptarea soluțiilor Cloud

Când vine vorba de cele mai presante provocări cu privire la securitatea cibernetică, cea mai des menționată în cadrul studiului nostru este abilitatea de a detecta și a răspunde la incidentele de securitate atunci când acestea apar în mediul Cloud. Printre celelalte provocări enumerate de respondenții la studiu au fost menționate lipsa vizibilității cu privire la punctul din cadrul infrastructurii de unde a provenit un atac cibernetic, lipsa colaborării intre echipele operaționale IT și echipele de securitate, lipsa fondurilor pentru inițiativele de securitate cibernetică și altele.

Lipsa vizibilității este cel mai comun refren atunci când vine vorba de securizarea modului de folosire a serviciilor în Cloud. Acest lucru este datorat faptului că asigurarea securității atunci când serviciile sunt în Cloud este fundamental diferită de situația în care serviciile sunt oferite din locațiile proprii, aici incluzând și incapacitatea clienților (de servicii Cloud) de a accesa nivelul fizic la rețelei.