Спецпроекты

Безопасность Стратегия безопасности Облака

ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Большинство ИТ-организаций находятся в неведении относительно того, каким образом осуществляется защита корпоративных данных в «облаке» — в результате компании подвергают рискам учетные записи и конфиденциальную информацию своих пользователей. Таков лишь один из выводов недавнего исследования, проведённого институтом Ponemon по заказу SafeNet. В рамках исследования, озаглавленного «Проблемы управления информацией в “облаке”: глобальное исследование безопасности данных», во всём мире было опрошено более 1800 специалистов по информационным технологиям и ИТ-безопасности, сообщили CNews в SafeNet.

Исследование также показало, что хотя организации всё активнее используют возможности облачных вычислений, ИТ-подразделения корпораций сталкиваются с проблемами при управлении данными и обеспечении их безопасности в «облаке». Опрос показал, что лишь в 38% организаций четко определены роли и ответственности за обеспечение защиты конфиденциальной и другой чувствительной информации в «облаке». Усугубляет ситуацию то, что 44% корпоративных данных, хранящихся в облачном окружении, неподконтрольны ИТ-подразделениям и не управляются ими. К тому же более двух третей (71%) респондентов отметили, что сталкиваются с всё новыми сложностями при использовании традиционных механизмов и методик обеспечения безопасности для защиты конфиденциальных данных в «облаке», сообщили в SafeNet.

«Результаты исследования свидетельствуют о том, что глобальные организации сталкиваются с проблемами обеспечения безопасности данных в “облаке” из-за отсутствия налаженных механизмов управления критически важными данными и методик их защиты, — отметил д-р. Ларри Поунмон (Larry Ponemon), руководитель и основатель института Ponemon. — Для создания более защищенного облачного окружения организациям достаточно начать с самых простых шагов, например, принимать во внимание проблемы и задачи ИТ-безопасности при разработке политик и процедур безопасности; повышать прозрачность использования облачных приложений, платформ и инфраструктур; осуществлять защиту данных посредством шифрования и применять средства контроля доступа, такие как многофакторная аутентификация».

Около двух третей опрошенных ИТ-специалистов (71%) подтвердили, что облачные вычисления сегодня имеют большое значение для корпораций, и более двух третей (78%) считают, что актуальность облачных вычислений сохранится и через два года. Кроме того, по оценкам респондентов около 33% всех потребностей их организаций в информационных технологиях и инфраструктуре обработки данных сегодня можно удовлетворить с помощью облачных ресурсов, а в течение следующих двух лет эта доля увеличится в среднем до 41%.

Однако большинство опрошенных (70%) соглашается, что соблюдать требования по сохранению конфиденциальности данных и их защите в облачном окружении становится всё сложнее. Кроме того, респонденты отмечают, что риску утечек более всего подвержены такие виды хранящихся в «облаке» корпоративных данных, как адреса электронной почты, данные о потребителях и заказчиках и платежная информация.

В среднем внедрение более половины всех облачных сервисов на предприятиях осуществляется силами сторонних департаментов, а не корпоративными ИТ-отделами, и в среднем около 44% корпоративных данных, размещенных в «облаке», не контролируется и не управляется ИТ-подразделениями. В результате этого только 19% опрошенных могли заявить о своей уверенности в том, что знают обо всех облачных приложениях, платформах или инфраструктурных сервисах, используемых в настоящий момент в их организациях.

Наряду с отсутствием контроля за установкой и использованием облачных сервисов, среди опрошенных отсутствовало единое мнение относительно того, кто же на самом деле отвечает за безопасность данных, хранящихся в «облаке». 35% респондентов заявили, что ответственность разделяется между пользователями и поставщиками облачных сервисов, 33% считают, что ответственность целиком лежит на пользователях, и 32% считают, что за сохранность данных отвечает поставщик сервисов облачных вычислений.

Около половины респондентов (48%) отмечают, что им становится всё сложнее контролировать или ограничивать для конечных пользователей доступ к облачным данным. В итоге более трети (34%) опрошенных ИТ-специалистов заявили, что в их организациях уже внедрены корпоративные политики, требующие в качестве обязательного условия для работы с определёнными сервисами облачных вычислений применения таких механизмов обеспечения безопасности, как шифрование. 71% опрошенных отметили, что возможность шифрования или токенизации конфиденциальных или иных чувствительных данных имеет для них большое значение, и 79% считают, что значимость этих технологий в течение ближайших двух лет будет повышаться.

Отвечая на вопрос, что именно предпринимается в их компаниях для защиты данных в «облаке», 43% респондентов сказали, что в их организациях для передачи данных используются частные сети. Примерно две пятых (39%) респондентов сказали, что в их компаниях для защиты данных в «облаке» применяется шифрование, токенизация и иные криптографические средства. Еще 33% опрошенных не знают, какие решения для обеспечения безопасности внедрены в их организациях, и 29% сказали, что используют платные сервисы безопасности, предоставляемые их поставщиками услуг облачных вычислений.

Респонденты также считают, что управление корпоративными ключами шифрования имеет важное значение для обеспечения безопасности данных в «облаке», учитывая возрастающее количество платформ для управления ключами и шифрования, используемых в их компаниях. В частности, 54% респондентов сказали, что их организации сохраняют контроль над ключами шифрования при хранении данных в «облаке». Однако 45% опрошенных сказали, что хранят свои ключи шифрования в программном виде, там же, где хранятся и сами данные, и только 27% хранят ключи в более защищенных окружениях, например, на аппаратных устройствах.

Что касается доступа к данным, хранящимся в «облаке», то 68% респондентов утверждают, что управлять учетными записями пользователей в условиях облачной инфраструктуры становится сложнее, при этом 62% респондентов сказали, что их в организациях доступ к «облаку» предусмотрен и для третьих лиц. Примерно половина (46%) опрошенных сказали, что в их компаниях используется многофакторная аутентификация для защиты доступа сторонних лиц к данным, хранящимся в облачном окружении. Примерно столько же (48%) респондентов сказали, что в их компаниях применяются технологии многофакторной аутентификации, в том числе и для защиты доступа своих сотрудников к «облаку».

«Хотя развитие облачных вычислений в корне изменило характер предоставления ИТ-сервисов, для многих ИТ-организаций удовлетворение спроса на эти сервисы и решение потенциальных проблем, возникающих вследствие хранения критически важных данных в “облаке”, представляет собой довольно сложную задачу, — отметил Цион Гонен (Tsion Gonen), директор по стратегии в SafeNet. — И судя по многочисленным утечкам данных, свидетелями которых мы стали в 2014 году, зачастую атаки на организации осуществляются с самых различных углов. Чтобы избежать подобных рисков, необходима четкая координация усилий и использование новых подходов к обеспечению безопасности данных в “облаке”, и основная роль в инициативах по внедрению этих новых подходов должна отводиться ИТ-подразделениям».

Татьяна Короткова

Короткая ссылка