2 апреля, 2019, BIS Journal №1(32)/2019

Стратегический тренд… без стратегии


Орешкина Дарья

эксперт информационной безопасности

Про облака на российском рынке 2018

Для бухгалтерии, отдела продаж, департаментов информационных технологий и разработки ПО провайдеры предлагают все больше интересных облачных сервисов, повышающих эффективность бизнес-подразделений. Хотя облака по-прежнему вызывают обеспокоенность службы ИБ в виду отсутствия полного контроля над инфраструктурой и чувствительными данными, облачные услуги уверенно развиваются и расширяют свое присутствие в повседневной жизни компаний. Весь 2018 год мы наблюдали подъем и оживление российских облачных провайдеров, и повышение спроса среди корпоративных заказчиков.

КЛИЕНТ ГОЛОСУЕТ

В 2018 году в СМИ в интервью экспертов аналитических агентств и поставщиков услуг, озвучивались причины повышения спроса на облачные сервисы. Среди наиболее ярких факторов отметились:

Возрастающий интерес бизнеса к DevOps и аналитике Big Data вызвал повышение спроса на IaaS (инфраструктура как услуга) и PaaS (платформа как услуга) – источник: руководитель исследований облачных услуг IDC Дмитрий Гаврилов в статье на TAdviser. Бизнесу это оказалось нужно, например, при создании умных онлайн-сервисов для взаимодействия с клиентами компании, для реализации систем помощи принятия решений в сфере управления, продаж, маркетинга и др.
Массовые блокировки западных сервисов, включая Amazon дали ощутимый толчок, когда по словам облачных провайдеров, пострадавшие начали переход к мультиоблачной модели c локальными поставщиками облачных услуг в качестве резерва.
Локальные провайдеры смогли предложить более низкие цены на свои услуги, удобство использования и настройки решений. Последнее утверждение показалось мне спорным, и я решила провести собственный эксперимент. За один вечер в конфигураторе сервиса одного из известных российских поставщиков выбрала все необходимые опции, оформила подписку на IaaS, в тот же вечер получила сконфигурированную услугу и приступила к запуску нового проекта. Цена подписки при этом была ниже западных аналогов.

Как говорится, клиенты голосуют рублем. Отмечается, что средний чек клиентов также вырос.

«Прогноз объема рынка облачных услуг в России в 2015-2020 гг., млрд. руб.». Источник: SAP СНГ, февраль 2017 г.

ОБЛАКА ПЛЫВУТ, НЕ ТОРОПЯТСЯ

Один из критичных аспектов развития гибридных и публичных облаков – это обеспечение безопасности данных, которые хранятся у поставщика услуг. Надежность функционирования и защищенность облачной среды – ключевые факторы для формирования доверия корпоративных заказчиков. Защита облачного сервиса начинается с построения модели угроз, далее определяется набор требований и мер безопасности. Для IaaS, PaaS, SaaS (программное обеспечение как сервис) границы ответственности провайдера и подписчика услуги различаются, при этом в SaaS получается наибольшее количество элементов, за которые отвечает провайдер. В любом случае, какую бы модель сервиса ни выбрал бизнес, необходима качественная реализация мер безопасности как со стороны провайдера, так и со стороны подписчика. Именно совместные усилия дают требуемый уровень защищенности всей системы. Наиболее развитые и пригодные для коммерческого использования облачные сервисы предоставляют своим клиентам широкий набор инструментов контроля и защиты корпоративных аккаунтов, например, средства централизованного управления учетными записями, выбор методов аутентификации, применяются системы выявления аномальной и вредоносной активности.

Для корпоративного сегмента – как для коммерческих компаний, так и для госструктур, важно не только наличие механизмов защиты данных, размещаемых в облаке, но соответствие их отраслевым стандартам, законодательству, внутрикорпоративным требованиям. В 2018 году российские провайдеры предлагали своим клиентам облака, сертифицированные по различным стандартам, в частности сертифицированный в соответствии с требованиями PCI DSS виртуальный дата-центр, облачные услуги для хранения персональных данных в соответствии с Федеральным Законом №152. Таким образом, компании вольны выбирать, оставлять ли всю инфраструктуру в собственных ЦОДах или воспользоваться облачными услугами.

Примечательно, что и в России, и во всем мире банки активно применяют современные информационные технологии, но при этом неторопливо «принимают» облака и мигрируют в облачную среду. Банки видят плюсы построения ИТ-систем на облачных платформах, у них есть задачи, которые эффективнее было бы с помощью облаков решать, но в большинстве случаев отсутствует облачная стратегия, которая бы обеспечила переход к облаку. Облачная стратегия нужна, без условно не только банкам, но всем другим компаниям, вовлеченным в цифровизацию и имеющим в стратегии развития планы по модернизации своей IT среды. В западных компаниях все чаще встречается должность «менеджер по цифровой трансформации». Передовые компании видят необходимость выделения такой роли, даже если не определена отдельная должность. Ну а если безобразие нельзя остановить, то его надо возглавить. Почему бы CISO не взять на себя роль менеджера по цифровой трансформации, хотя бы в части обеспечения безопасности этого процесса? Ведь действительно важно, чтобы бизнес и безопасность шли нога-в-ногу, чтобы прогресс был эффективным и бизнес оставался защищенным.

КАКИЕ СРЕДСТВА ЗАЩИТЫ?

С точки зрения подписчика, при любой модели облачного сервиса неизменно остаются задачи контроля своих данных и действий своих администраторов и пользователей. Различаются лишь уровни, на которых может быть направлено вредоносное воздействие. В 2018 году множество инцидентов, связанных с применением облачных решений, были вызваны нелегитимным использованием учетных записей, некорректными правами доступа к опубликованным ресурсам, отсутствием шифрации баз информации, к которым был получен несанкционированный доступ.

При использовании облаков, подписчику всегда нужно понимать, кто и какие данные опубликовал в облаке, кто имел к ним доступ, необходимо иметь возможность применять корпоративные политики к чувствительным данным. С этой задачей научились справляться решения класса Cloud Access Security Broker (CASB). Аналитическое агентство Gartner в октябре 2018 признало лидерами производителей: McAfee (поглотили Skyhigh Networks), Netskope (в 2018 году добавил базовую функциональность SWG в свой облачный продукт), Symantec (поглотил Blue Coat, в состав которого прежде вошли Elastica и Perspecsys), Bitglass.

Для контроля администраторов и пользователей, что особенно актуально при углублении в PaaS и IaaS, недостаточно просто назначить права доступа, требуется детальное понимание, кто какие команды вводил при настройке приложений и СУБД, появляется необходимость аккуратно управлять паролями растущих в геометрической прогрессии сущностей, автоматизировать гранулярный доступ для разных специалистов, в каких-то случаях требуется не только журналировать запросы, но и записывать экраны при подключении к системе. Эти задачи решают системы класса Privileged Identity & Access Management. Gartner в декабре 2018 лидерами производителей решений класса Privileged Access Management признал CyberArk, BeyondTrust, Centrify и CA Technologies. Примечательно, что компания Bomgar в сентябре 2018 объявила о приобретении компании BeyondTrust для расширения возможностей решения для управления привилегированным доступом и о продолжении своей деятельности под именем BeyondTrust.

СОБЛАЗН ВЕЛИК, ПОРА ЗАДУМАТЬСЯ…

Переход из корпоративной сети в облако должен быть тщательно продуман и спланирован, потому что на карту поставлены доверие клиентов к компании, качество и гибкость услуг, фундамент для дальнейшего развития. Важно, чтобы компании и лица, принимающие решения в области ИТ, оценили свою готовность к переходу в облако. Вот список вопросов, которые необходимо задать для принятия верного решения:
1.Каковы причины для перехода в облако и какие выгоды ожидаются от миграции?

Нужно определить основные стратегические цели облачной инициативы. Таким образом, ответ должен прийти коллективно от всех ключевых заинтересованных сторон – операционного управления, ИТ, финансов, продаж, маркетинга, отдела кадров и других.

2.Выразите в цифрах и конкретных значениях ожидаемый результат, как для клиентов, так и для компании после завершения перехода в облако.

Ответы должны помочь определить параметры облачной инициативы – оцифрованные ожидания каждого участника.

3.Каковы выводы бизнес-обоснования потенциального перехода в облако, какие бизнес-процессы следует перенести в облако и почему?

Тщательная оценка потребностей необходима, прежде чем мобилизовать крупную инициативу.

4.Достаточно ли в компании человеческих ресурсов, специалистов и времени для реализации инноваций?

Нужна оценка готовности сотрудников компании к реализации инноваций.

5.Согласуются ли ресурсы корпоративной сети с новыми инициативами?

Как и предыдущие, вопрос также направлен на оценку стратегической согласованности. Перемещение в облако означает уменьшение присутствия локальной ИТ-среды, но требует дополнительной пропускной способности сети.

6.Как вы узнаете, что у вас достаточно пропускной способности для поддержки новых и/или существующих приложений?

Здесь оценивается, может ли ёмкость вашей сети идти в ногу с вашими устремлениями.

7.Каковы самые сильные и слабые стороны корпоративной сети на данный момент в части работы с клиентами и в части работы офисов?

Подумайте, как и где использовать свои сильные стороны и укрепить слабые. Что произойдет, если сеть выйдет из строя, когда центр обработки находится в облаке.

8.Как изменятся подходы и потребности в безопасности при переходе в облако? Какие виды мер безопасности могут потребоваться, чтобы защитить пользователей, данные и IT активы?

Безопасность – стратегически важная облачная цифровая услуга, наравне с переносом сетевой инфраструктуры и приложений в облако. Ландшафт угроз поменяется, появятся новые кибер-уязвимости, в том числе DDoS-атаки, вторжения вымогателей и кража вычислительных ресурсов (в 2018 году облачные системы подвергались нападениям с целью майнинга криптовалют), несанкционированный доступ к данным и другие формы взлома.

9.Как будет выглядеть дальнейший план развития IT в компании?

Что даст переход в облако в дальнейшем.

10.Каково видение того, как будет развиваться процесс перехода в облако?

Это будет массовая миграция или поэтапный подход? Какой срок? Как будут разделены обязанности по управлению процессом?

Чтобы инициатива была успешна, убедитесь, что у правильных людей есть место за столом переговоров с самого начала. Переход в облако, начиная от планирования и заканчивая реализацией инициативы – непростая задача и для отдела IT и для команды информационной безопасности. Взвешенный подход, тщательно проработанные потребности и возможности, слаженная работа всей команды приведут к верному решению и дадут бизнесу надежный фундамент для прогресса.

 

Смотрите также

AI, ML и ИБ

31 декабря, 2018

Три регламента

10 апреля, 2018
Подпишись на новости!
Подписаться