许多英国公司不适用于处理云安全风险
根据Alienvault的javvad Malik,尽管采用了加速云计算服务的采用,但许多组织的安全能力尚未保持速度,而Alienvault的安全倡导者。
“虽然云产品可以大大受益,但他们确实介绍了企业需要理解和有效管理的不同类型的风险,”他告诉电脑。
2017年7月由Alienvault在伦敦InfoSecurity Europe的调查显示,超过900人的安全专业人士的28%被调查,他们组织的云安全专业知识水平为“新手”或“不是非常有能力”。
只有18%的人排名在拥有“大师级”或“非常有能力”技能的组织,表明对云安全的专业知识普遍缺乏信心。
“没有许多组织相信他们拥有确保云环境所需的技能,或者确保他们在保持数据安全的情况下表演,”马利克说。
复杂的问题是,由于使用基于云的会计,营销和其他可能没有批准的服务,许多组织或不知道在云中已经在云中的大部分数据是由于集中批准的Malik表示,组织倾向于信任大型云服务提供商将负责所有安全要求。
“许多正在购买亚马逊的基于云的服务的组织,微软和谷歌正在通过唯一的部门来做,并且未能解决仍然承担责任的安全问题,”他说。
虽然云服务提供商将照顾维护,正常运行时间和开发的许多方面,但Malik指出,组织涉及其存储的数据,特别是与分类,安全,加密,防火墙配置和访问控制相关的责任。
“许多小于云中冒险的中型企业将用于服务并相信它们是安全的,因为它们正在使用大型服务提供商,但这些提供商安全的事实并不意味着数据在移动时是安全的在云中,“他说。
另一个常见问题是,安全性通常是云服务的事后,特别是当试验迅速转变为永久性服务而没有信息安全团队和数据安全周围必要的尽职尊重。
“云的美丽和危险是,从试验开始,在没有任何变化的情况下从试验开始转为完整的生产环境,”马利克说。
云服务监控公司逻辑监视器的最新报告强调了解决这些问题的迫切需要,这估计,83%的企业工作负载将在2020年到云中,尽管云中的数据安全性差异,但特定于英国财务部门。
仅在过去的一年中,由于组织,包括Verizon,Eccenture和澳大利亚广播公司,有几个云数据实例被暴露出来,包括verizon,埃森哲和澳大利亚广播公司,表明使用云服务的组织没有必要的安全技能。
有效地在云中运作,同时遵守符合符合要求,Malik表示企业需要大量的内部云专业知识,以确保所有流程和系统都适当地康明并使用。
这包括通过托管安全服务提供商(MSSP)或其他第三方采购云服务的实例,这些三方需要保证如何处理和安全,并且如果涉及欧盟的个人数据(欧盟)公民。
“由于最佳实践所需的康复系统是我们发现的最常见的失败之一,而且无意中选择”测试环境“选项而不是”生产环境“选项或”公共“而不是”私有“,而不是”私有“虽然有一个小错误 - 可以产生很大的不同,“他说。
其他常见的失败与正确管理访问控制正确,监控云环境正确,无法分离敏感数据。
许多组织仍然没有足够的控件,谁可以访问云数据;没有实现双因素认证,以便访问敏感数据;未能识别和删除流氓和孤儿账户;没有分析可疑,异常和恶意行为的原木;并没有使用适当的附加访问控制从其他数据中分离个人和其他敏感数据。
在没有足够的技术人员或合适的安全监测工具,Malik表示,这可能导致欧盟一般数据保护条例(GDPR)和英国计划新数据保护法下的持续基于云的数据违规和潜在巨额罚款。
“组织还应防范云提供商的声称”GDPR兼容“,而无需验证数据存储并且谁可以访问它,”他说。
复杂的问题,27%的信息安全专业人员由Alienvault调查说,他们的公司在涉及云安全时削减角落,允许同事分享云凭证或许可证以降低成本。
虽然这样做可能会在短期内拯救一些钱,但缺乏共享云服务和凭证的问责制,从长远来看,公司可以获得更多的公司,“马利克说。
他补充说,任何冒险进入云的公司都应该对共享责任模型进行充气理解,这决定了云服务的消费者仍然有责任,用于保护他们的操作系统,应用程序和在云帐户上运行的数据运行。
出于这个原因,他表示,在选择云提供商时,组织必须考虑到这一点,特别是鉴于GDPR,这是重要的。组织还应熟悉云安全工具,可帮助他们监控云基础架构。
Malik建议组织已经建立了云中的大部分关键数据,这可能比他们意识到更多。
他还建议他们与他们的云服务提供商合作,作为合作伙伴,以确保正确的数据处理协议已经到位,并且对其组织中云相关的安全问题有合理的理解水平。
“属于安全性和云安全特定论坛的价值,以提高对关键问题的理解和意识,以及在信息专员办公室网站上提供的隐私和安全的特定于云特定指导(ICO )和国家网络安全中心(NCSC),“马利克说。
他补充说,组织应该确保他们能够表明他们有良好的业务用例,为他们的云实现,并且他们采取了合理的步骤,以确保存储在云中的所有数据都是安全的。