الثلاثاء, 27 آذار/مارس 2018 08:03

الأمن ــ تحديك الأكبر عبر السحابة

كتبه ساتشين بهاردواج

بقلم: ساتشين بهاردواج، مدير التسويق وتطوير الأعمال لدي "إي هوستينغ داتا فورت"

 

بينما تم توثيق  فوائد الانتقال إلى السحابة من حيث خفض تكاليف التشغيل وتعقيد التكنولوجيا بشكل جيد ، فإن التحضير لإعادة تصور سياسة الأمن الخاصة بالمؤسسة أصبحت ممارسة طويلة الأمد

يقول ساتشين بهاردواج، مدير التسويق وتطوير الأعمال لدي "إي هوستينغ داتا فورت" : تبقي تحديات تأمين أصول البيانات الخاصة بالمنظمة عبر السحابة هي المثبط و العائق الرئيسي نحو الانتقال إلى السحابة. و في الوقت الذي تبنت فيه العديد من المنظمات نهج السحابة أولا، لا يزال الكثير منها مترددًا في الشروع في هذه الرحلة. وإن مجرد البدء في المشروع بإعتبارة هدف في حد ذاتة ليس كافيا ، فعند بدء عملية الانتقال الي السحابة. تتضمن الصورة الكاملة لكيفية الحصول على عائد استثمار إعادة رسم وتصور لسياسة أمن بيانات المؤسسة لتشمل أصول السحابة الخاصة بها وكيفية إدارة مزود خدمات السحابة الخاص بها (CSP).

تحتاج المؤسسات التي تشرع في رحلة الانتقال للسحابة إلى تطبيق العناية الواجبة لتقييم مستويات الأمن المتضمنة في مزود خدمات السحابة CSP المختار. ويفترض وجود واحدة على الأقل من مواصفات الامتثال المذكورة والتي تشمل ISO 27001 و PCI-DSS و CSA-STAR و HIPAA وغيرها. إن مطالبة مزود خدمات السحابة" CSP " بالإفصاح رسمياً عن مستوى المخاطر ومستوى الامتثال من خلال استبيان ، هو مرة أخرى ممارسة شائعة ، بالنسبة للإدارات القانونية والأمنية في المنظمة.

إن قضاء الوقت في الحصول على هذه الردود وتقييمها والانتقال إلى مستوى عالٍ من الشفافية فيما يتعلق بالتأهب الأمني لـمزود خدمات السحابة CSP ، هو طريقة شائعة الاستخدام بالنسبة لمؤسسة المستخدم النهائي. و البحث عن كثب في الردود من مزود خدمات السحابة CSP سيساعد في الإجابة عن الأسئلة حول مستويات الأمان الداخلية.

كما سيساعد قضاء الوقت وتجميع هذه الردود على إعداد سياسة مناسبة لأمن البيانات ، تنطبق على أصول السحابة للمؤسسة. وعلاوة على ذلك ، يجب دائمًا إشراك فريق تقنية المعلومات الأساسي في المنظمة في أي عملية للإنتقال الي السحابة في مراحلها المبكرة. و قد يكون الخطأ الأكبر هو الانتقال إلى بيئة مزود خدمات سحابية ليست محمية و مؤمنة علي قدر البيئة الداخلية للمنظمة.

عند ترحيل أعباء العمل من موقع العمل إلى السحابة ، يتم اختبار قوة تصنيف بيانات المؤسسة. ليست كل البيانات بحاجة إلى نقلها من فرضية مكان العمل ، مع وجود قائمة من متطلبات الامتثال المدرجة ، إلى بيئة السحابة. وبعبارة أخرى ، يجب أيضًا تطبيق سياسات تصنيف البيانات المطبقة في مكان العمل في السحابة ، من حيث استبعاد البيانات وإدراجها.

وتمثل ملكية المسؤولية تغيير أساسي آخر من نظام إدارة البيانات في مكان العمل إلى إدارة البيانات القائمة علي السحابة. و عادةً ما تجد منظمات المستخدمين النهائيين أنه بمجرد نقل بياناتهم إلى بيئة السحابة وفي حال إدارتها من قبل مزود خدمات السحابة CSP ، فإن المهارات المطلوبة لأداء أدوار إدارة وتسيير تكنولوجيا المعلومات ستصبح زائدة عن الحاجة. وسيتطلب ذلك وجود مجموعة جديدة من المهارات من قبل منظمة المستخدمين النهائيين ، حيث ستشارك بشكل أكبر في مراقبة وإدارة عمليات مزود خدمات السحابة.

ويعد الجزء الأكثر أهمية في العلاقة مع مزود خدمات السحابة هو النقطة التي يتم فيها طمس وتشويش الخط الفاصل دون توضيح دقيق لطبيعة مسئولية كلا الطرفين. ولذا تحتاج منظمة المستخدمين النهائيين للعمل بشكل حاسم من أجل إعادة تعريف وتوضيح أي من هذه المناطق المشوشة بسبب الافتقار إلى الامتثال الأمني وسلامة البيانات في بيئة مزود خدمات السحابة.

وكلما زاد الجهد المبذول في التوضيح بشأن الأدوار التي يقوم بها مزود خدمات السحابة CSP ومنظمة المستخدم النهائي ، خاصة فيما يتعلق بسلامة وحماية البيانات، زادت احتمالية تقدم العلاقة من الإعتماد قصير الأجل إلى الاستقرار على المدى الطويل.