Le ricerche dimostrano che l'83% dei carichi di lavoro aziendali sono nel cloud, pertanto è importante discutere la questione della Conformità del cloud e perché è importante per la sua azienda in futuro.
Con l'aumento dell'adozione Cloud Security l'adozione è aumentata, gli standard di Conformità hanno dovuto evolversi, in quanto le piattaforme e i servizi cloud devono rimanere conformi a vari standard di sicurezza, regolamenti e leggi internazionali, federali, statali e locali. La mancanza di conformità a queste regole rigide può portare a sfide legali, sanzioni, multe e altre ramificazioni negative.
La conformità e la sicurezza del cloud sono più importanti che mai, dato che il panorama delle minacce diventa sempre più sofisticato. Non può essere trascurato, ignorato o messo in secondo piano. È un argomento che deve essere affrontato in modo proattivo. Ma è innegabilmente impegnativo, il che lo rende un'impresa poco attraente per le organizzazioni che hanno già abbastanza compiti tecnicamente complessi nelle loro liste di cose da fare.
Parte della sfida della Conformità cloud è che esiste su più livelli, non tutti controllati dalle stesse parti. E con l'introduzione dello shadow IT, diventa ancora più complesso. Oltre ai requisiti standard di conformità dei fornitori di cloud, la maggior parte delle grandi industrie ha anche regole e normative specifiche sulla conformità del cloud.
Ad esempio, il Payment Card Industry Data Security Standard (PCI DSS), utilizzato per garantire la sicurezza dei pagamenti effettuati con carte di debito o di credito, ha requisiti specifici per l'implementazione del cloud. Lo stesso vale per l'Health Insurance Portability and Accountability Act (HIPAA) nel settore sanitario.
E poi c'è la Conformità lato utente. Il fatto che un fornitore di servizi cloud soddisfi gli standard internazionali e i requisiti del settore, non rende automaticamente l'utente conforme. L'utente deve comunque assicurarsi che il servizio cloud sia utilizzato in modo conforme, così come il resto del sito deployment.
Garantire una Conformità cloud ottimale richiede una profonda comprensione del quadro generale, oltre che una precisa comprensione dei dettagli. Ecco alcuni concetti che potrebbe trovare utili:
1. Conoscere il suo cloud
Si prenda il tempo necessario per comprendere attentamente il suo modello di cloud, nonché le responsabilità di sicurezza dei suoi fornitori di servizi cloud. Questo la aiuterà a identificare le lacune di sicurezza e di Conformità. Ci sono forti differenze ed esigenze uniche quando si confrontano i cloud privati con i cloud pubblici e i cloud ibridi. Non è possibile affrontare la Conformità del cloud in modo significativo se non si è in confidenza con la propria configurazione e con i fattori unici che riguardano la sua situazione specifica.
2. Abbracciare la responsabilità
Chiariamo una cosa: sebbene possa avere una "responsabilità condivisa" con il suo fornitore di cloud o di servizi, in ultima analisi è la sua organizzazione ad essere responsabile. Può sempre recedere dal contratto se il fornitore non rispetta le regole, ma il peso della protezione delle informazioni dei suoi clienti, dei dati dei dipendenti, dei dati aziendali, ecc. ricade su di lei. Se non lo fa, la sua organizzazione finirà in acqua bollente.
3. Fare sul serio con gli SLA
Le aziende trattano comunemente gli accordi sui livelli di servizio (SLA) come semplici documenti di base che vengono copiati e incollati. In genere non vengono letti. E se lo sono, si tratta di un'occhiata veloce. Ma per quanto la Conformità sia importante, non può permettersi di essere lassista su questo fronte.
Le sanzioni per la violazione dei regolamenti sono costose e restrittive. (E si ricordi che l'onere è in definitiva su di lei!). Se non è specifico su ciò di cui ha bisogno dal suo fornitore di servizi cloud, quasi certamente si esporrà a livelli di rischio non necessari.
Il suo SLA deve delineare chiaramente il modo in cui il fornitore di servizi cloud segmenterà il suo ambiente rispetto agli altri clienti, dove i suoi dati possono/non possono essere collocati geograficamente, chi può accedere ai dati, ecc.
E si ricordi: Solo perché il fornitore di servizi cloud ha messo per iscritto queste cose in uno SLA, non significa che le rispetterà. Sta a lei assicurarsi che lo facciano. Il suo SLA non fa altro che aumentare la pressione contrattuale su di loro affinché rispettino le regole.
4. Sia più intenzionale con l'accesso dei dipendenti
La gestione degli accessi è uno degli aspetti più vitali della Conformità del cloud, in particolare per quanto riguarda la protezione dei dati. Dovrebbe limitare in modo significativo i dipendenti che possono accedere a quali applicazioni, account e dati. Rafforzi le sue politiche, applichi regole di accesso basate sulle necessità, rafforzi le scadenze degli accessi ed esegua audit regolari e approfonditi per assicurarsi che non ci siano punti deboli e maturi per l'infiltrazione. Inoltre, la visibilità centralizzata della sua piattaforma cloud aiuterà a migliorare la gestione della postura di Conformità, in modo da poter monitorare lo stato e agire rapidamente per prevenire le minacce.
5. Strategia di sicurezza unificata
La sicurezza della sua infrastruttura cloud e quindi della Conformità deve essere olistica e includere gli elementi di prevenzione, governance, visibilità e agilità. Attivare una strategia di sicurezza unificata che protegga la sua applicazione, compresa la sicurezza della rete, threat intelligencerete, livello di controllo degli accessi, visibilitàLa crittografia dei dati è un dato di fatto al giorno d'oggi, ma è bene ripeterlo. Non importa quanto sia sicuro il suo perimetro, ci sarà sempre qualcuno che troverà una via d'accesso. A questo punto, la crittografia dei dati è la sua migliore linea di difesa. Deve assicurarsi di adottare le misure adeguate per proteggerla completamente. Ciò significa avere la crittografia dei dati a riposo.
Con la crittografia dei dati abilitata a riposo, i suoi dati non possono essere manomessi, anche se le credenziali di accesso finiscono nelle mani di un hacker (o addirittura di un insider). Con tanti tipi diversi di crittografia, è necessario dedicare un po' di tempo ad analizzare le sue esatte esigenze, in modo da poter implementare una soluzione robusta che offra la massima protezione.
Per tutti i vantaggi che il cloud offre alle organizzazioni, non è qualcosa che si può lasciare scoperto. L'incapacità di tenere conto di un adeguato Cloud Security la renderà vulnerabile alle minacce esterne, agli attacchi interni e a tutta una serie di altri problemi.
Noi di Check Point crediamo che un'organizzazione sia valida solo quanto il suo impegno per la sicurezza e l'integrità. Se vuole costruire un'azienda di successo, deve assicurarsi che la sua sicurezza sia allineata per contrastare le minacce informatiche della Gen 6 e deve dare priorità a Cloud Security in ogni fase del percorso.
Anche se ogni organizzazione è diversa, la necessità di soluzioni di sicurezza adeguate è una preoccupazione comune. Contattate Check Point oggi stesso per saperne di più sui nostri prodotti e sulle nostre soluzioni, compreso il nostro servizio di consulenza sulla sicurezza, che può aiutare le aziende come la vostra a capire cosa significhi rimanere conformi in un ecosistema così dinamico.