לקראת כנס CloudCon: מיחשוב ענן, אבטחת מידע ומה שביניהם

מיחשוב ענן (Cloud Computing) הופך לפופולרי יותר ויותר. אולם מאחר ומדובר בשימוש באפליקציה או במערכת הנמצאת מחוץ לגבולות הארגון, מבקשים מנמ"רים ומנהלי אבטחת מידע רבים לוודא שהשימוש במיחשוב ענן בטוח מבחינת אבטחת המידע. "החשש מפני בעיות אבטחת מידע חזור ומסתמן כחסם העיקרי הניצב בפני מקבלי החלטות בארגונים המבקשים להכנס לתחום מיחשוב הענן ולנצל את ההזדמנויות העסקיות הכרוכות בו", אומר רועי הררי, סמנכ"ל פיתוח עסקי ופעילות בינלאומית בקומסק, חברת היעוץ המובילה בישראל בתחום אבטחת מידע.

כדי לסייע למנמ"רים ולשאר מקבלי ההחלטות בתחום המיחשוב, יצרה קומסק שירות ייחודי הנקרא "מוכנות אבטחתית למיחשוב ענן" (Cloud Security Readiness). השירות כולל בדיקה מדוקדקת של התחומים אותם מבקש הארגון להעביר למיחשוב ענן, שלאחריה באה שורה של המלצות. התהליך מבוסס על נסיון של קומסק ועל מחקרים שהיא מבצעת, על מתודולוגיה של ENISA (הסוכנות האירופית לאבטחת רשתות ומידע) ועל מתודולוגיה של ארגון ה-CSA (ר"ת Cloud Security Alliance).

במהלך תהליך ההערכה, בוחנת קומסק שורה של תחומים המושפעים מיוזמת הענן אצל הלקוח הספציפי. התחום הראשון הינו הרגולציות. "קיימות רגולציות שונות במדינות שונות ויש לבדוק אם הוצאת פעילות מסוימת למיחשוב ענן, כגון בסיס נתונים עם פרטי לקוחות, אינה עלולה ליצור בעיות רגולטוריות ופערים בהקשר זה", אומר הררי. "לדוגמה – במדינה בה שוכן הארגון עשויים להיות חוקים ותקנות לגבי מאגרי מידע, אך במדינה בה שוכן השרת שעליו פועלת האפליקציה במיחשוב ענן, עשויה להיות רגולציה אחרת וצריך לבדוק כיצד מיישבים זאת. דוגמא אחרת היא הדרישה לגישה למידע. ייתכן מצב שבו במדינה בה שוכן הארגון אין דרישה רגולטורית לגישה למאגרי מידע, אך במדינה ממנה מופעל השירות יש דרישה כזו".

נושא נוסף הנבדק ע"י קומסק הוא רמת השקיפות. לדוגמה, איזו רמת שקיפות מקבל המנמ"ר או מנהל אבטחת המידע לגבי בקרת הגישה לאפליקציה. לדוגמה – האם ספק מיחשוב הענן מעביר ללקוח מידע לגבי אירועי אבטחה שהתרחשו, או מתרחשים, באותה אפליקציה או מערכת שבה מדובר. "אנו בודקים אם הדיווח על אירועי אבטחת מידע כלול בהסכם ועד כמה", אומר הררי.

אחד המרכיבים החשובים בתחום אבטחת מידע הוא הביקורת (auditing). מנמ"ר, מנהל אבטחה, מבקר פנימי ובעלי תפקידים נוספים בארגון חייבים להיות בעלי יכולת לגשת בכל עת לכל מערכת ולדעת האם היא שמורה היטב, מה רמת אבטחתה, מה רמת החשיפה שלה, ומהי אפשרות הגישה אליה. מדובר הן בבדיקות הנעשות ביוזמתם והן כתוצאה מדרישות הנהלה או רגולטור. "כאשר מדובר במיחשוב ענן השאלה היא אם הגוף המספק את השירות יאפשר לך לבצע אצלו ביקורת אבטחת מידע ועד כמה, ודבר זה חייב להיות מוגדר היטב לפני שחותמים על הסכם עם הספק" אומר הררי "לדוגמה – עשוי להיות מצב שמתחרה ישיר של הארגון משתמש באותה מערכת של מיחשוב ענן ויש לוודא שאין זליגה של המידע".

הררי מציין, כי קיים מיגוון רחב ביותר של שירותי מיחשוב ענן, מסוגים שונים, ויש למפות את צרכי העסק והמרכיבים שאותם מבקש הארגון להעביר למיחשוב ענן ולבדוק אם אין בעיות מבחינת אבטחת מידע. "עשוי בהחלט להיות מצב שפעילויות מסוימות ניתן להעביר למיחשוב ענן, אך פעילויות אחרות רצוי להשאיר בתחומי הארגון וכך ניתן להנות מהיתרונות הכלכליים שבמיחשוב ענן ויחד עם זאת להמנע מסיכוני מיותרים, אשר החשיפה אליהם, גדולה מהתועלת הנובעת מהשינוי הטכנולוגי-כלכלי המוצע" אומר רועי הררי "בסיום תהליך הבדיקות אנו מפיקים ללקוח דו"ח עם המלצות מפורטות בתחום זה, תחת קו מנחה עסקי-כלכלי-טכנולוגי. כלומר – כיצד כן ניתן לאפשר לארגון להינות ממקסימום הטבות הנובעות משירותים בענן המיחשוב, וזאת בתהליך מתוכנן ומקצועי של עדכון בקרות רלוונטיות של אבטחת המידע שברשותו".

מתעניין במיחשוב ענן? הירשם לכנס CloudCon של אנשים ומחשבים