Три головні ризики від хмарних сервісів. Блог Максима Батуренко

20 червня 2018, 14:11

Перехід на хмарні сервіси – це не тільки зниження витрат, але і ризики. Топ-3 головних і як їх уникнути.

Перехід на хмарні сервіси дозволяє знизити операційні і капітальні витрати компаній. Крім того, зберігання даних в хмарі часто забезпечує більш високу надійність, масштабованість і гнучкість, ніж використання власних серверів in-house. Разом з тим, перехід компаній в «хмари» сприяє збільшенню ризиків. Про які з них варто пам'ятати компаніям в першу чергу і як на них реагувати?

Відео дня

Безпека даних і дотримання регуляторних вимог

За результатами опитування, проведеного KPMG і Harvey Nash серед IT-керівників країн Європи, Азії та США, лише п'ята частина компаній готова сьогодні протистояти кібератаці. Більшість керівників вважають вдосконалення систем кібербезпеки найвищим пріоритетом через пікове збільшення рівня загрози з боку кіберзлочинності.

Втрата, витік або недоступність даних може призвести не тільки до переривання бізнес-процесів, а й втрати доходу і репутації, порушення регуляторних вимог, що потягне за собою відповідні санкції з боку регуляторів.

У світовій практиці такі вимоги представлені галузевими і національними регламентами. В Україні спеціалізоване законодавство для «хмарних послуг» ще не прийнято, що істотно ускладнює можливість ефективного захисту даних для українського бізнесу. З цієї причини має сенс вивчити і використовувати в своїй практиці світові тенденції.

Одним з таких посібників із захисту даних може бути GDPR – нові правила, прийняті Європейським парламентом і вступили силу в травні цього року.

Серед основних вимог GDPR – впровадження стандартів безпеки для забезпечення більш високого рівня контролю в питаннях переміщення персональних даних, отримання згоди на їхню обробку, що призводить до необхідності використання додаткових заходів захисту при обробці персональних даних, наприклад, шифрування. Також потрібно призначення спеціального відповідального співробітника щодо захисту даних і співпраця з відповідними наглядовими органами в Європейському союзі.

Ще один регламент, на який може спиратися український бізнес в захисті своїх даних – Guidance on cloud outsourcing, прийнятий в грудня 2017 European Banking Authority (EBA) в якості рекомендації для підконтрольних банків.

Цей документ включає такі кроки, як оцінка матеріальності хмарного аутсорсингу, забезпечення безпеки даних і систем на основі оцінки ризиків, оцінка місць зберігання та обробки даних, план дій у разі припинення роботи з хмарою або перенесенням операцій в інше хмара. Крім цього, банки повинні зберегти право проведення аудиту хмарних операцій, переданих на аутсорсинг, і отримання фізичного доступу в приміщення провайдера.

Проблеми з постачальником послуг

У разі банкрутства провайдера, судових позовів проти неї або дій правоохоронних органів постраждає і компанія, яка купує у нього рішення хмарних сервісів. Це в свою чергу може позначитися на операційній діяльності та репутації вашої компанії.

З цієї причини, приймаючи рішення про роботу з тим чи іншим провайдером, важливо провести попередню оцінку використовуваних їм заходів безпеки, включаючи методи збору, використання, зберігання, видалення та розкриття персональних даних. Важливо перевірити наявність сертифікатів з безпеки і безперервності надання послуг, наприклад, TIER і ISO 27001. При розробці компанією вимог до заходів інформаційної безпеки для провайдера ми рекомендуємо клієнтам KPMG засновувати її на оцінці ризиків для переданих в хмару операцій і даних. Повторна оцінка ризиків повинна проводитися на постійній основі.

Фінансові ризики

За даними дослідження «2017 State of the Cloud Report», проведеного Right scale серед 1000 технічних фахівців, неефективні витрати на хмарні послуги оцінюються на рівні 45%. Щоб оптимізувати їх, потрібно заздалегідь ретельно проаналізувати, які функції треба впроваджувати. Крім того, для контролю витрат на хмарні сервіси доцільно призначити відповідальних за бюджетування, відстеження та управління цими витратами, а також застосовувати спеціалізовані аналітичні інструменти, що допомагають контролювати витрати на хмарні сервіси.

Вибудовуючи внутрішні процедури і відносини з провайдерами в області інформаційної безпеки, не варто забувати про підвищення рівня обізнаності співробітників компанії в області кіберзагроз та вибудовуванні ефективної цифрової стратегії. Згідно з дослідженням KPMG і Harvey Nash, більшість компаній визнають, що не мають сьогодні ефективної цифрової стратегії, 78% вважають її мало ефективною. Це привід проаналізувати власні практики в області «хмарних» рішень.

Автор: Максим Батуренко, керівник групи відділу консультування з управління ризиками KPMG в Україні

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X