Close
שליחת קורות חיים

ניהול סיכוני מידע בסביבות ענן - איך לעשות נכון?

16/06/2016

מהם סיכוני אבטחת מידע בענן? כיצד מנהלים אותם? כיצד לבחור נכון ספק שירות? מדריך קצר של 2BSecure - חברת אבטחת המידע של מטריקס, המתמחה בניהול סיכוני ענן

שירותי הענן, הפורחים בשנים האחרונות, מביאים מזור לבעיות עמן מתמודדים ארגונים שונים במשק, ובעיקר תורמים להתייעלות תפעולית וכלכלית. יחד עם זה, אחד החששות הגדולים המלווים ארגונים במעבר לענן הוא אובדן השליטה, המתבטא בעיקר באופן ההגנה על המידע ועל פרטיותו. המענה לחששות ולהתלבטויות אלה נע, כמו תמיד, בטווח שבין הטכנולוגיה לרגולציה.

בעבר, הגישה הייתה להחזיק את המידע ולנהל אותו בתוך הארגון, בהנחה שכך המידע מאובטח באופן מלא, על ידי גורמים נאמנים לארגון. לאורך השנים הגישה השתנתה וכיום ארגונים מבינים כי התשומות הנדרשות מצידם להחזיק את כל המידע בארגון גבוהות מאוד, וכי שירותי ענן מקלים עליהם מקצועית, תפעולית וכלכלית. כיום ישנם מודלים עסקיים מגוונים, החל משירות ענן מלא ועד לפתרונות משולבים אשר מאפשרים ללקוח לקנות פתרון תוכנה מסוים ולקבל את ניהול המוצר, את תפעולו השוטף ואת תחזוקתו כשירות מספק הענן או חברת אבטחת המידע.

במאמר זה, ייסקרו האיומים הרלוונטיים לעולם מחשוב הענן, וכיצד להתמודד עמם, בהתאם לאופי החברה ולהנחיות הרגולציה:

סיכוני השימוש במחשוב ענן

השימוש בשירותי מחשוב ענן מצמצם חלק מהסיכונים הקלאסיים בהיבטי אבטחת מידע, אך גם פותח עולם חדש של סיכונים.  להלן פרוט הסיכונים העיקרים הגלומים במחשוב ענן:

1.       זיהוי
הענן, במקרים רבים, פתוח לכל מקום בעולם. ניהול הרשאות ומשתמשים למספר רב של ארגונים מגדיל את הסיכון בזיהוי משתמשי הארגון בכניסה לשירותי הענן המסופקים לו. בהתאם לרגישות המידע חשוב לשקול את כל נושא צמצום הגישה וזיהוי חזק.

2.       זמינות המידע
שירותי ענן יכולים לספק רמת זמינות גבוהה מאוד, לעיתים אף גבוהה משמעותית משימוש במשאבים פנימיים, בוודאי בתרחישים שונים של אסון ונפילת שירות. אך ללא תלות בספק שירות הענן עצמו, הזמינות תלויה בסופו של דבר בחיבור תקין לאינטרנט. לכן, צריך לנתח את אופי השימוש במערכת ואת רמת הזמינות הנדרשת בשלב הערכת הסיכונים ולקבוע האם מערכת זו ראויה למעבר לשירות ענן.

3.       העברת מידע
העברת המידע בין הארגון לענן מעלה את הסיכון בתווך התקשורת ביניהם, שכן המידע אשר עובר מ/אל הענן עלול להיות חשוף ליירוט על-ידי גורמים עוינים.

4.       זליגת מידע בין ארגונים
חלק משירותי הענן (תלוי מסלול) משתמשים באותה תשתית למספר גדול של ארגונים, קיים סיכון שמידע יזלוג בין ארגונים של אותו ספק שירותי ענן. לדוגמא, בדרך של הצגת מידע של ארגון אחד לארגון אחר.

5.       ציות לרגולציה
בשל השוני בין מיקומו הפיזי של הארגון לבין מיקומו של ספק מחשוב הענן, קיימים פערים רגולטוריים אשר יכולים ליצור הבדלים בדרישות אבטחת המידע לכל אחד מהצדדים. למשל, חוק הגנת הפרטיות לשירות חיצוני בישראל אינו מאפשר הוצאת מידע רגיש למדינה שאינה תומכת באותה סטנדרט של המחוקק הישראלי בענייני הגנת הפרטיות.  כמו כן, במדינות שונות גוף אכיפת חוק יכול להוציא צו, שיחייב את ספק הענן למסור מידע שמאוחסן אצלו ובכך לחשוף מידע רגיש של הארגון.

6.       מחיקת מידע
כאשר גוף עסקי מאחסן מידע באופן עצמאי קיימת שליטה מלאה שלו ביכולת למחוק את המידע. כאשר עוברים לעבוד עם ספק ענן יש לוודא, כי בסיום ההתקשרות קיימת היכולת למחוק את המידע.

7. אפשרות למעבר ספק שירות
במקרים רבים בעבודה עם שירות ענן, קשה מאוד "להתנתק" מהשירות. במיוחד כאשר עובדים עם SAAS (שירות כתוכנה). למשל, הספק יכול להחזיק את הנתונים במבנה מאוד מסויים, שיקשה מאוד את המעבר שלו לטכנולוגיה אחרת.

8.   תשתית צד ג'
לעיתים, כאשר רוכשים שירותי SAAS,  מתגלה בהמשך, כי ספק ה- SAAS רוכב על שירותי IAAS (תשתית כשרות) עליהם לא הצהיר, או שלא נלקחו בחשבון בשלב הערכת הסיכונים. יש לקחת בחשבון גם נושא זה בהתאם לרמת הרגישות או הזמינות הנדרשת לחומר שנשמר.

איך לבחור בספק השירות הנכון?

לאחר בחירת סוג השירות הרצוי ולאחר בחינת היתרונות והחסרונות לשימוש בשירותי ענן, השלב הבא הוא בחירת ספק שירותי הענן המתאים לצרכי הארגון. בבחירת הספק מומלץ לתת עדיפות להתקשרות עם ספקי ענן המוסמכים לאחד או יותר מתקני האבטחה הבאים:

§         STAR (Security, Trust & Assurance Registry) -  פרויקט של ה- CSA (Cloud Security Alliance) הכולל מילוי שאלון וטבלת הערכה ע"י ספק שירותי הענן, תוך ציון כלל ההסמכות והבקרות אותם מבצע הספק על מנת לשמור על רמת אבטחת מידע גבוהה ביותר.

§         ISO 27017 - תקן לניהול אבטחת מידע וסיכונים אצל ספק שירותי הענן.

§         - PCI DSS תקן לאבטחת נתוני אשראי בארגון אשר סולק, מאחסן או מעביר מידע אשראי.

§         HIPAA (Health Insurance Portability and Accountability Act) - תקנות לשימוש בנתונים דיגיטליים, שמטרתן לפקח על השימוש במידע רפואי אישי על-ידי כל הנוגעים בו ולמנוע דליפה של מידע זה לגורמים לא מורשים.

§          SSAE 16 Type II(Statement on Standards for Attestation Engagements)- על פי תקן זה מחוייב ספק שירותי הענן לבדוק את מערכות המידע שלו באמצעות תהליכים, מדיניות ונהלים רלוונטיים.

לסיכום, הענן מאפשר גמישות רחבה במגוון אלמנטים, באופן שלא היה קיים בעבר. מניסיוננו, לחלק מהארגונים, רמת האבטחה הקיימת בענן יכולה להיות גבוהה לאין ערוך מהרמה שיכול להשיג הלקוח ברשת הפנימית שלו. על כן, לפני כל צעד, יש לבצע ניהול סיכונים מקיף. 2Bsecure, חברת אבטחת המידע של מטריקס, מספקת שירותי ייעוץ מתקדמים, במגוון היבטי אבטחת המידע, ובכללם ניהול סיכוני אבטחת מידע בענן. חברת מטריקס היא השותף הבכיר ביותר של AWS (אמזון) בישראל ושותף בכיר של Azure (מיקרוסופט) , ועל כן מחזיקה ביכולות ייחודיות בתחום. 2BSecure מספקת מענה הן להיבטי דרישות הרגולציה והן לסטנדרטים השונים. כמו כן, החברה מפעילה צוות טכנולוגי המתמחה בארכיטקטורת ענן עם התמחות באבטחת מידע, הפועל על פי Best Practices. הצוות מוסמך בהסמכות כמו STAR של ה CSA, ISO Lead auditors, CISSP וכן הסמכות ייעודיות של AWS.

 
המאמר מיועד להוות רקע בסיסי לאילו המעוניינים להכיר את התחום, תוך שימת דגש על הסוגיות הרלוונטיות לאבטחת מידע בענן.