המגמה המתרחבת של המעבר לענן כשירות הולידה שתי גישות בנוגע לנושא: הגישה הראשונה גורסת כי ניתן להתעלם מסיכוני אבטחת מידע בקרב. . .
מומחי אבטחת מידע מציינים כי ארגונים רבים מצדדים באחת מן הגישות, כל אחד קיצונית באופייה, ועל כן, אינם מצליחים להתקדם בסוגיה באופן ראוי. לפיכך, הם מציעים גישה מבוססת סיכונים המציעה מרחב החלטה גדול יותר בכל הנוגע למיקור חוץ של שירותי הענן הארגוניים תוך התחשבות בסדרי העדיפויות בהיבט העסקי והאבטחתי.
גישה זו מורכבת משלושה נדבכים:
1) סיווג (Classify)- סיווג נכסים ופונקציות בתחום ה-IT בכדי לתעדף סיכונים; בטרם ניתוח הפגיעויות הקיימות אצל הספק או החיסכון בעלויות הטמון בשירות שלו, יש בראש ובראשונה לסווג את הנכסים ואת הפונקציות בתחום ה-IT אצלך בארגון. סיווגים אלו יכולים להתבצע בהתאם לרמת הקריטיות העסקית, היתרון היחסית של אותו נכסים, אילוצי רגולציה רלוונטיים ועוד.
2) רמת בסיס (Baseline)- קביעת רמת בסיס של סיכון קביל; סיווג הנכסים ופונקציות ה-IT יסייעו לארגונים לגבש בסיסי מטרה של סיכון סביר, אשר הינם מרכיב מפתח בהחלטה מבוססת סיכון בנוגע לשירותי צד שלישי.
3) הערכה (Assess)- הערכות סיכון אמפיריות הינן. הסיווג של נכסי IT בהתאם לסיכון פוטנציאלי והגיבוש של רמות בסיס לסיכון קביל אמורים לייצר פריזמה דרכה הארגון יכול לבחון את הספק. הערכות אלו צריכות לקחת בחשבון את היתרונות שבעסקה כמו את ההערכה הטכנית של בקרות האבטחה שלו בשעה שהן מתייחסות לתאבון לסיכון של הארגון.
לחברתנו ניסיון רב ומגוון בביצוע פרוייקטי ייעוץ וליווי הקשורים לענן. כך, למשל סייענו לאחרונה לאחד מלקוחותינו בניתוח השלכות אבטחת המידע כתוצאה מהעברת אחת האפליקציות המרכזיות של הארגון למודל סביבת ענן אשר יתופעל על ידי גורם חיצוני. במסגרת זאת, גובש מסמך מסכם אשר הציג את המסקנות, הסיכונים העיקריים אותם מומלץ לבחון לעומק אל מול הספק, יתרונות וחסרונות של השירות המוצע אל מול המצב הקיים בהיבטי אבטחת המידע ועוד.
לידיעה המלאה- כאן
