אבטחה – סיבה לעבור לענן

אם יש דבר אחד שהוא קבוע בעולם ה-IT, זה השינוי. אם חושבים על הדילמה עתיקת היומין של אבטחה לעומת חדשנות: לפני שנים מועטות בלבד, החששות בנוגע לאבטחה ולפרטיות מנעו מארגונים להטמיע מודלים עסקיים מבוססי ענן. כיום, רבים מחששות אלה הופרכו כליל.

מנהלי ה-IT מעבירים את היישומים והנתונים שלהם לענן על מנת שיוכלו להפיק תועלת מתכונות האבטחה המתקדמות שמציעים ספקי ענן שונים. המפתח טמון בבחירה של הטכנולוגיה – כזו שמיועדת להגן על משתמשים, לשפר את יכולת ההגנה על הנתונים ולתת מענה משופר לדרישות בכפוף לחוקי הפרטיות ורגולציה.

הנה כמה מהמאפיינים של זירת אבטחת המידע העכשווית:
● האיומים המודרניים ממוקדים ומתוחכמים יותר: 76% מכלל הארגונים חוו אירועי פריצה בשנה האחרונה.
● עומס יתר של התראות אבטחה: בממוצע, חברות בגודל בינוני חוות 16,937 התראות בשבוע; רק 19% מהן אמינות ו-4% אחוזים מהן נבדקות.
● מחסור בטאלנטים: 66% מכלל המשרות בתחום אבטחת הסייבר אינן מאוישות על-ידי מועמדים מיומנים.
● הגנה היקפית מלאה פרצות: 91% מכלל הארגונים חוששים להטמיע מחשוב ענן בגלל אבטחה; מצד שני, רק 14% מאמינים כי די באבטחה המסורתית.

טכנולוגיית ענן מפחיתה את הסיכון לאובדן נתונים

השיטות של אבטחת ה-IT המקובלות בקרב ארגונים רבים שמנהלים את המערכות בצורה עצמאית אינן עמידות מספיק כדי להתמודד עם איומים שמקורם בתוכנות זדוניות, פישינג, ואיומים מתקדמים שפותחו על-ידי משתמשים זדוניים, ארגונים של פשיעת סייבר וגורמים ממשלתיים.

אין עוד ספק, כי אמצעי האבטחה המסורתיים, מבוססי הגנה היקפית שמוטמעים בדרך כלל על-ידי ארגונים שמנהלים את האבטחה של עצמם – החל בפיירוולים ארגוניים, דרך מערכות זיהוי חדירה ותוכנות אנטי-וירוס – כבר אינם מספיקים כדי למנוע איומים האלה.

אם נסתכל קדימה, אל הענן, אלפי ארגונים ומיליוני משתמשים בשירותיהם של ספקי ענן ציבורי Tier 1 משיגים אבטחה טובה יותר מאשר היו יכולים להשיג בדטה סנטרים שלהם.

בסקר בינלאומי שערכה אורקל (Oracle) באמצעות מכון המחקר Coleman Parkes, כ-78% מכלל העסקים שהשתתפו קובעים כי הענן יכול לשפר הן את האבטחה והן את האג'יליות (מהירות וגמישות) בעסק שלהם.

העובדות מראות כי כיום רוב תקציבי האבטחה משמשים להגנה על הרשת, כאשר פחות משליש מתקציבים אלה משמשים להגנה על דטה ועל קניין רוחני שיושבים בתוך הארגון. אבטחת הרשת אמנם חשובה, אבל זה לא מספיק.

בניית אסטרטגיית הגנה עמוקה

הענן בנוי סביב מספר שכבות של אבטחה ומספר רב של רמות הגנה לרוחב המערך הטכנולוגי. בקרות גיבוי מספקות גמישות יוצאת דופן, כך שאם מתגלה פגיעה בשכבה אחת, המשתמש הבלתי מורשה ייאלץ להתמודד עם בקרת אבטחה נוספת בשכבה הבאה.

אבל גם אם יש לכם את אחת מטכנולוגיות האבטחה הטובות בעולם זה רק חלק מהעניין. ספק ענן חייב לבנות פתרון שמשלב בין אנשים, תהליכים וגם טכנולוגיות ענן רבות במטרה לספק פלטפורמה משולבת המבוססת על הגנת עומק:
● בקרות מנע שמיועדות לצמצם גישה בלתי מורשית למערכות ולמידע רגיש.
● בקרות גילוי שמיועדות לחשוף שינויים בלתי מורשים במערכות ובדטה דרך ביקורת, ניטור ודיווח.
● אמצעים אדמיניסטרטיביים שמיועדים לתת מענה למדיניות, שיטות עבודה ונהלים של אבטחת מידע בארגון.

ספקי ענן ציבורי מחזיקים צוות ייעודי של מומחי אבטחת מידע בענן ברמה עולמית אשר זמינים 24/7. כמובן שהעדיפות היא לספקים שהמערך שלהם כולו בנוי על הטכנולוגיה המשולבת – לרבות חומרה, מערכת הפעלה, יישומי ענן, קושחה, פתרון ניטור וניהול זהויות – וכיוון שכל החלקים האלה משולבים בצורה מלאה, ניתן ליהנות מגישה ישירה לפיתוח המוצרים בכל שכבה של המערך הטכנולוגי, אשר מבטיחה הגנה טובה יותר ופתרון של בעיות יעיל יותר.

בעידן מחשוב הענן, חברות אינן מחזיקות עוד בנכסי המידע שלהן בדל"ת אמותיהן, אלא משתמשות בשירותי אחסון, עיבוד נתונים, יישומים ותשתיות בענן. הגופים מאמצי ענן האלו למדו, כי מעבר לענן יכול לסייע להם להגביר את שקיפות האבטחה ואת היעילות שלה.

הכותבת הינה מנהלת פיתוח עסקי לאבטחת מידע, אורקל ישראל.