Sisällysluettelo:
Pilvipalvelujen käyttö monissa tapauksissa on saanut hallintatukea. Tätä myönteistä asennetta puuttuu kuitenkin IT-osastoilla. Lumension-sponsoroimassa Ponemon-raportissa 2014 päätetapahtumien riskitilanne ehdottaa, että pilvipalveluiden käyttö on riippumatta siitä, onko yritys tai työntekijälähtöinen, lisääntynyt angst kyselyyn vastanneiden keskuudessa - 19 001 IT-ammattilaista Yhdysvalloissa. Oheinen liuku osoittaa, että 44 prosenttia vastaajista (16 prosenttia lisääntynyt vuosina 2012 - 2013) vastasi pilvilaskentaresurssien käyttämistä suurimmaksi huolenaiheeksi. Tietotekniikan henkilöstö mainitsi lukuisia pilvipalveluihin liittyviä huolenaiheita.
Lähde: Päätepisteiden riskiraportti 2014
Kuka vastaa pilvissä olevista tiedoista?
Ponemonin raportti heijasti suurta osaa siitä, mitä turvallisuusryhmät ovat sanoneet viimeisten useiden vuosien ajan. Mikä on minulle utelias, kuka vastaa? Kuka on syyllinen, jos yritystietoihin tapahtuu jotain pilvessä ollessa? Tästä voi odottaa kaikenlaista mainintaa, mutta sitä ei ole. Pieniä keskusteluja vastuusta alkoi rajua kaksi tai kolme vuotta sitten. "Ostaja varokaa" oli kuitenkin ainoa todellinen johtopäätös.
IT-henkilöstön huolen lisääntyessä saattaa olla hyvä idea nähdä, onko vastuuosastolla jotain muuttunut. Vuonna 2012 haastattelin useita C-tason johtajia. Haastattelujen aikana kysyin, kuka heidän mielestään oli vastuussa pilvipohjaisten yritysten tietojen turvaamisesta. Jokainen johtohenkilö uskoi, että tietoturva ei ollut enää heidän huolta, kun tiedot olivat jonkun toisen palvelimilla.
Businessweekin vuoden 2012 artikkeli Kuka vastaa tietojen suojaamisesta pilvessä? kirjoittanut Sarah Frier vahvisti epä tieteellisen kyselyni. Artikkelissa Frier lainasi Verizon Communicationin Mario Santanaa, joka sanoi: "Jotkut yritykset olettavat virheellisesti, että kun he päättävät tallentaa tietoja ulkopuolisille palvelimille, heidän ei enää tarvitse huolehtia itsensä näiden tietojen suojaamisesta."
Ponemon- ja Businessweek-havaintojen perusteella C-tason avainhenkilöiden ja IT-osastojen välinen irtaantuminen ilmeni vuonna 2012. Kaksi vuotta eteenpäin ja se, mitä yritysjohtajat ja IT-ammattilaiset sanovat turvallisuudesta ja kuka vastaa pilvipalveluntarjoajalle uskottujen yritystietojen joukosta, on muuttunut.
Mikä on erilaista vuonna 2014?
Ponemon-instituutti julkaisi huhtikuussa 2014 kolmannen vuotuisen Trends in Cloud Encryption -tutkimuksen, jota Thales e-Security tukee. Ponemonin kysely pyysi 4 275 yritys- ja tietotekniikkapäällikköä Yhdysvalloissa, Isossa-Britanniassa, Saksassa, Ranskassa, Australiassa, Japanissa, Brasiliassa ja Venäjällä. Kyselyn pääasiallisena tavoitteena oli tutkia, kuinka organisaatiot suojaavat tietojaan, kun ne annetaan pilvipalvelujen tarjoajille.
Ponemon-tutkijat kysyivät osallistujilta kahta kysymystä, jotka ovat tärkeitä tässä keskustelussa:
- Kuinka suuri osa organisaatioista siirtää arkaluontoista tai luottamuksellista tietoa ulkoisiin pilvipohjaisiin palveluihin?
- Kuka on vastuussa pilvipohjaiselle palveluntarjoajalle siirretyn arkaluontoisen tai luottamuksellisen tiedon suojaamisesta?
Lähde: Pilvisalausmenetelmät
Seuraavaksi, joka oli tutkimusvuonna 2013, kuka oli vastuussa pilvipalvelun tarjoajalle siirrettyjen arkaluontoisten tai luottamuksellisten tietojen suojaamisesta? Se riippuu. Kyselyn osallistujien mukaan vastuu riippuu tarjottavien pilvipalvelujen tyypistä - SaaS tai IaaS / PaaS. Oheinen liuku kuvaa vastaajien mielipiteitä siitä, kuka oli vastuussa, kun yritys käytti SaaS-ympäristöä. Vuonna 2013 54 prosenttia katsoi pilvipalveluntarjoajan olevan vastuussa turvallisuudesta ja 24 prosenttia katsoi pilvipalvelun käyttäjien olevan vastuussa, kun taas 19 prosenttia piti vastuun jakamista. (Lisätietoja valitsemalla IaaS: n ja PaaS: n välillä: mitä sinun on tiedettävä.)
Lähde: Pilvisalausmenetelmät
Seuraava dia kuvaa vastaajan mielipidettä siitä, kuka oli vastuussa, kun yritys käyttää IaaS / PaaS-ympäristöä. Vuonna 2013 47 prosenttia piti tietoturvaa jaettuna vastuuna, 26 prosenttia piti pilvipalveluiden käyttäjiä vastuullisina ja 22 prosenttia piti pilvipalvelujen tarjoajan vastuuta.
Lähde: Pilvisalausmenetelmät
Tulos? Asiat ovat muuttuneet. Näyttää siltä, että “ostaja varokaa” -asenne on kypsynyt oikein pilvipalvelutuotteiden kanssa. Mutta kuten Internet-taitava asianajaja kertoi, vastuut määräytyvät sopimuksilla, ei enempää tai vähemmän. Se on jotain kaikille pilvipalveluihin osallistujille mielessä.
