במהלך השנים האחרונות ארגונים רבים החלו לעבור לפלטפורמה של שימוש בשירותי ענן ציבוריים. המעבר של אותם ארגונים נעשה משיקולים שונים וביניהם שיקולים אסטרטגיים, ניהוליים, תפעוליים, כלכליים, אבטחת מידע ועוד.
המעבר לענן הוא אחת ממגמות הטכנולוגיה המשמעותיות בשנים האחרונות. סביבת הענן הציבורית טומנת בחובה לא מעט יתרונות אך גם לא מעט חשיפות לסיכונים, שאם יתממשו יכולים לפגוע בצורה אקוטית במהלך העסקים הרגיל של הארגון. יש להבטיח כי נעשים כל המאמצים למזעור וצמצום הסכנות האפשריות ויצירת סביבה בטוחה לפעילות הענן של הארגון.
יתרונות המעבר לענן כוללים חיסכון בעלויות, נגישות מכל מקום ובכל עת ועוד. מנגד קיימים מספר סיכונים בקשר שימוש בענן ציבורי, כגון:
- ביצוע הגדרות שגויות (קונפיגורציה).
- הרשאות גישה לא מנוהלות.
- סיכונים קיימים בשרשרת האספקה (התקשרות עם ספקים ללא ניסיון מתאים / אבטחת מידע לקויה של מערכות צד ג').
- כשל בבידוד סביבת הענן.
- תקלות טכניות
- תקיפות/פריצות מכוונות
יש לזכור כי מדובר בתחום חדש יחסית ולא בכל ארגון קיים הידע המקצועי להתמודד עם סיכונים אלה בצורה מלאה. לעיתים מעורבות חיצונית של גורמי בקרה ביקורת וניהול סיכונים, תוכל לסייע להקטין את הסיכונים ולהתגבר עליהם, למשל – לבדוק ולוודא שסביבת העבודה הנבחרת תואמת לדרישות תקינה/חקיקה/רגולציה וכי חלוקת המשאבים של הארגון בתהליך נעשית באופן היעיל ביותר. יש לא מעט סוגיות שיש לקחת בחשבון כגון הצפנת הנתונים, הקשחת סביבת הענן והגדרת חוקים בחומת האש, הגדרות הרשאות ניהול ייעודית לסביבות השונות בענן, אבטחת אפליקציות וכו'.
גורם מקצועי שיכול לסייע בניהול סיכוני השימוש בשירותי ענן ציבוריים הוא המבקר הפנימי בחברה, וזאת כאשר הוא בעל ידע וניסיון מתאימים לביקורת ענן וכן בעל הסמכה מתאימה, כדוגמת CCAK מטעם ארגון ISACA (ארגון מבקרי מערכות מידע).
המטרה העיקרית של המבקר הפנימי הינה לוודא כי הכללים והשיטות למעבר לענן תואמים את האסטרטגיה והמטרות של הארגון. מעורבותו של מבקר פנימי, נחלקת לשני שלבים – תחילה, שלב הדרישות, בו המבקר הפנימי לומד את דרישות הארגון לשימוש בסביבה של ענן, לאחר מכאן יסקור המבקר סיכונים אפשריים ויעבוד ביחד עם הארגון / הספק בכדי להטמיע בקרות אשר יקטינו את הסיכונים שזוהו. בנוסף על המבקר הפנימי לוודא הכללת בקרות אבטחה הולמות כחלק מהסכם ההתקשרות עם הספק המיועד. בשלב השני לאחר המעבר לענן, יבדוק המבקר כי סביבת הענן עונה לדרישות המשתמשים ומטרות ההנהלה, יבחן האם הוגדרו ויושמו בקרות גישה נאותות, מהי העלות מול התועלת עבור הארגון, ייתן המלצות באשר לליקויים ובעיות, בניית תוכנית עבודה ליישום ההמלצות ועוד.
התייחסות לנושא בקרות במעבר לענן ציבורי ניתנה ע"י ארגון Cloud Security Alliance (CSA), שהוא אחד מהמובילים בעולם בתחום אבטחת מידע בסביבת מחשוב ענן. הארגון פרסם מסמך בשם Cloud Controls Matrix (CCM) שמשמש ככלי תומך החלטה ללקוחות שמעוניינים לעבור לשימוש בשירותי ענן ציבוריים ואחרים.
ניתן להיעזר במסמך לבחינת אפקטיביות הבקרות של סביבת ענן קיימת או בטרם התקשרות עם ספק ענן.
נציין כי מערך הסייבר הלאומי מקדם פעילות שתכליתה הנגשת מתודולוגיה זו למשק הישראלי ובכלל זה תרגום לעברית של המסמך המוזכר לעיל. ניתן לקבל את המסמך המתורגם בפניה למייל Raveh-ravid@Raveh-ravid.com.
לקריאת המסמך באנגלית לחצו כאן.
לקריאה נוספת והמלצות מערך הסייבר הלאומי בנושא ענן ניתן למצוא באתר המערך:
https://www.gov.il/he/departments/policies/cloud_services
https://www.gov.il/he/departments/general/xaas2019
למידע נוסף ניתן לפנות ל:
אלון עמית, 972-3-7676-999+, Alon@raveh-ravid.co.il
מעוז פליר , 972-73-3502-811+, Maozf@raveh-ravid.co.il
מטרת פרסום זה הינה להביא לידיעתכם מידע מעודכן בנושאים שונים.
בהתאם, אין ליישם את האמור במזכר זה מבלי להיוועץ בגורם המקצועי המתאים במשרדנו