cloud computing - l'élément de confiance

Dans le secteur IT, une vois souvent des entreprises et des entités gouvernementales Fielding contrats pour fournir des capacités sans fil pour leurs installations et leur personnel. En tant que professionnel de la sécurité, la première question est toujours: "Pourquoi?" L'expérience a montré que, les entreprises et organismes gouvernementaux ont tendance à sous-estimer la sensibilité de leurs données, même banales leur, les données quotidiennes. Ils ont aussi tendance à sous-estimer les vulnérabilités introduites par des points de connexions sans fil, même si sécurisé, et leur risque potentiel pour les systèmes coûteux et les opérations commerciales.

Récemment, il ya eu une véritable explosion dans l'utilisation du Cloud Computing pour réduire les coûts de sécurité et d'accroître l'accessibilité aux données. Une fois encore, les entreprises et les entités gouvernementales sont sauter dans le train de placer le volume sur le volume de données exclusives et potentiellement sensibles dans la joie au grand air de "The Cloud". Dans ce processus, les propriétaires des données donnent des pouvoirs étendus de contrôle sur leurs données à des prestataires externes pour lesquels une relation de confiance appropriée ne peut être pleinement établie, ni compris. Encore une fois, je la question fondamentale est: "Pourquoi?"

L'attraction du Cloud Computing

Cloud Computing utilise les services Web sur Internet auprès de fournisseurs externes pour offrir aux entreprises un moyen un prix attractif et évolutif d'externaliser l'infrastructure, les logiciels et l'expertise, même technique. Le vendeur fournit ces services en masse, en s'appuyant sur l'efficacité inhérente à des économies d'échelle pour fournir les capacités informatiques qui serait plus coûteux, voire prohibitifs, pour construire et entretenir de façon indépendante.

Une entreprise ou un organisme du gouvernement de pratiquement n'importe quelle taille peut toujours trouver quelques aspects de leur fonctionnement, ou même une solution totale, qui réaliserait une réduction des coûts financiers dans le déplacement des systèmes internes et des capacités dans le Cloud. En fait, ventures avec limitée ou inexistante des ressources internes de sécurité des informations pour commencer peut grandement améliorer leur posture de sécurité simplement en faisant le déplacement.

Tout cela semble si nouveau, merveilleux et excitant, et dans une certaine mesure il s'agit. Mais même dans une économie dominée par la ligne de fond, il est facile d'oublier une vérité simple: la valeur réelle d'un morceau de données pour son propriétaire ne peut pas être entièrement cerné par un signe dollar, seule. En fait, ces données peuvent être inestimable.

L'élément de confiance

Souvent, la vraie valeur d'un morceau de données n'est pas réalisé jusqu'à ce qu'elle soit compromise. Nous travaillons avec des volumes de données chaque jour, et il est facile de tenir pour acquis. Il est aussi facile de prendre pour acquis les services commerciaux. Alors, laissez l'acheteur prenne garde: Lorsque l'on considère l'externalisation des ressources dans le nuage, il est impératif de comprendre la valeur des données et des capacités étant confiée au fournisseur, ainsi que la nature de la relation de confiance avec les deux-vendeur et de leur troisième partenaires commerciaux fête! Après tout, vous pourriez être en leur donnant les clés du royaume. Comme point de départ, quelques questions simples à considérer devrait être:

Où les données seront situées, à la fois physiquement et logiquement? Différents états aux États-Unis, et certainement différents pays, ont très variables lois concernant seconde partie la responsabilité et la responsabilité-pour-la manipulation des données.

Ironiquement, les Etats-Unis a été scruté à partir d'autres pays en raison de la facilité avec laquelle post-9/11, le gouvernement fédéral peuvent accéder à des données étrangères. Logiquement parlant, les données sont stockées sur des serveurs unique ou multiple? Est-il partager l'espace avec des données provenant d'autres sources? Est-il logé à un site ou plusieurs sites géographiquement distincts?

Qui aura accès aux données, et comment sont-ils contrôlés et surveillés? Comment peut-on contrôler et accéder à vos données propre nuage? Comment les employés des fournisseurs, entrepreneurs, et les tierces parties restreintes et surveillées en ce qui concerne l'accès à vos données? Quelles sont les politiques de sécurité sont en place?

Comment les données seront-sécurisé sur le serveur, et comment est-il sauvegardé et / ou reproduire? Les données sont cryptées sur le serveur et / ou en transit? Comment le chiffrement (ou son absence) sur les performances? Quelle est la fréquence des données répliquées, et pour aller où? Combien de temps sont maintenus sauvegardes? Quelle est la procédure et le calendrier pour accéder aux sauvegardes?

Est-ce le vendeur, et le site de stockage (s), en contrôlant les données en conformité avec les lois, règlements, la gouvernance et les meilleures pratiques? Ont-ils été cités ou ont des incidences inacceptables dans le passé? Quelles sont les conditions d'utilisation, contractuellement? Qu'est-ce que les petits caractères, et quelle information est manquante entièrement concernant la responsabilité des fournisseurs et la responsabilité pour la gestion de données, la perte, et le compromis?

Les réponses à ces questions, avec d'autres particuliers à une situation individuelle, va définir le niveau de confiance nécessaire dans une relation avec un fournisseur potentiel.

Évaluation du risque dans l'établissement du coût-bénéfice

Une fois les offres des fournisseurs potentiels »sont compris, il ya quelques sujets de sécurité standard de l'industrie à considérer dans l'établissement du niveau de risque impliqués dans l'externalisation des données et des capacités. Une fois que le risque est quantifié, le coût du déplacement du nuage peut être considéré non seulement en termes d'économies mensuelles, mais aussi en termes de dépense fiscale prévue au cours du temps en raison de la perte ou la compromission de données ou de capacités. Ces sujets macro-sécurité sont:

Confidentialité: Quel est le potentiel de la divulgation des données auprès de chaque fournisseur, et quel degré de dommage serait expérimenté pour les revenus, les efforts des affaires en cours ou futurs, image de l'entreprise, les opérations ou la sécurité si les données ont été divulguées de façon inappropriée?

Intégrité: Quel est le potentiel de corruption ou de perte auprès de chaque fournisseur, et le degré de dommage (par dessus) si les données ont été corrompues ou perdues?

Disponibilité: Quelle est la vitesse d'accès aux données et le degré de fiabilité du système pour chaque fournisseur? Quel est leur taux de disponibilité du système, et comment changer les procédures de gestion, les améliorations du système, et de désastres potentiels affecter l'accessibilité à des données ou des capacités?

Responsabilité: Quelle est la détection et la capacité légale pour chaque fournisseur, si les données sont perdues ou volées? Peut accès non autorisé, toute divulgation inappropriée, ou la perte être suivis afin que les dommages potentiels peuvent être évités ou atténués?

Choisir une solution

En rendant une décision d'utiliser le Cloud Computing, et à quel degré, l'accent principal doit être la criticité des données et des capacités en question. Compte tenu de tous les coûts et les facteurs de risque, internes des systèmes sécurisés de données peut offrir plus de valeur pour les données critiques que de confier une partie à l'extérieur avec son contrôle.

Alors que les fournisseurs de services et de différents consortiums commencent à répondre à certaines des préoccupations de sécurité inhérents à Cloud Computing, normes juridiques uniformes et de l'industrie sont encore de nombreuses années hors tension. Par ailleurs, la sécurité a un prix: hausse des degrés de sécurité et de performances que ce qui est actuellement la norme sera nécessairement réduire la marge de l'épargne et la valeur globale pour les entreprises.

Lorsque la décision est prise d'utiliser les ressources du Cloud Computing, considérer les points suivants comme des «must-haves" dans le choix d'un fournisseur:

1. L'ouverture de la demande du vendeur sur la sécurité pertinentes détails de leurs employés, des systèmes et des opérations.

2. Assurer le contrôle n'est pas perdu pour l'accès à des informations sensibles: Protéger la propriété exclusive et intellectuelle, l'information vie privée des employés et des clients, ainsi que des données financières.

3. Assurer les lois applicables et des mandats de gouvernance ne sont pas violés par l'utilisation d'un vendeur, ni par les pratiques du fournisseur dans le traitement de vos données (par exemple: FISMA, HIPAA, Sarbanes-Oxley ...).

4. Assurez-vous que la criticité des données, et votre responsabilité pour elle, n'est pas telle que la perte ou la libération pourrait gravement endommager ou détruire vous-même ou autrui.

Virtuel et "Cloud" informatique sont des concepts populaires dans la recherche afin de mieux gérer le stockage des données et améliorer l'efficacité de l'informatique. Mais il ya des risques réels et potentiels liés à ces nouveaux concepts.

Source de l'article: http://EzineArticles.com/3360957