3 Langkah Kritikal Ke Arah Pematuhan Keselamatan 'Cloud' | BAHAGIAN AUDIT DALAM
» ARTIKEL » 3 Langkah Kritikal Ke Arah Pematuhan Keselamatan 'Cloud'

3 Langkah Kritikal Ke Arah Pematuhan Keselamatan 'Cloud'

Carian artikel oleh : Jawatankuasa Laman Web PTJ

Penulis : Robert Clark - Principal, Cyber, Risk and Regulatory, PwC United States

Sumber : https://www.pwc.com/us/en/tech-effect/cybersecurity/enable-cloud-compliance-cybersecurity.html

 

Jelas sekali, perniagaan berminat dengan awan. Malah, 56% responden kepada Tinjauan Perniagaan Awan PwC melihat 'cloud' sebagai platform strategik untuk pertumbuhan dan inovasi. Tetapi terdapat putus hubungan antara semangat dan pulangan. Lebih separuh (53%) syarikat masih belum mencapai nilai yang besar daripada pelaburan 'cloud'. Satu penjelasan ialah bergantung pada penyedia 'cloud' pihak ketiga boleh meningkatkan kelemahan yang menghakis kepercayaan dalam perniagaan.

Sebab lain: Syarikat tidak selalu melihat spektrum penuh risiko awan. Perancangan yang tidak mencukupi, selalunya lemah, boleh menghasilkan pelaksanaan belanjawan yang perlahan dan berlebihan. Malah, hanya 17% daripada ketua pegawai risiko (CRO) dan ketua eksekutif audit dibawa masuk ke projek awan pada peringkat perancangan. Kebanyakannya datang ke meja lebih lewat, semasa pengumpulan keperluan.

Pemeriksaan awal risiko boleh menjadikan keselamatan siber sebagai pemboleh pertumbuhan yang kuat, yang memberikan transformasi perniagaan yang luas dan laluan pantas ke masa hadapan.

 

Pakar risiko: Bantu pasukan transformasi awan anda menangani tiga bidang utama ini

Untuk membantu mencapai transformasi yang patuh dan selamat, organisasi harus meneroka tiga bidang utama keselamatan siber, privasi dan pematuhan:

  • Jaga pusat akses ke — dan dalam — awan dan aplikasi pemastautin. Tetapkan kawalan keselamatan dan tentukan keperluan untuk pengasingan tugas (SoD) dan mengurus akses istimewa.
  • Reka bentuk privasi ke dalam awan. Cipta keperluan perniagaan privasi yang dilaksanakan pada awal inisiatif transformasi.
  • Membina keselamatan siber terkemuka. Memperkenalkan amalan, dasar dan kawalan yang menyesuaikan diri dengan perubahan pada landskap teknologi. Bagi sesetengah orang, ini mungkin kes menilai program sedia ada dan mengemas kini mengikut keperluan.

Kebanyakan organisasi, terutamanya organisasi awam, memperuntukkan masa dan sumber yang besar untuk menangani keperluan bagi bidang ini. Masalah yang berpotensi bermula apabila syarikat tidak mengambil kira bagaimana transformasi awan boleh mengubah keperluan dan mewujudkan halangan jangka panjang untuk pematuhan peraturan. Mengintegrasikan keperluan pematuhan dan keselamatan pada permulaan boleh membantu mengurus keperluan dengan berkesan dan mengelakkan kos pengubahsuaian program keselamatan.

 

Jaga titik akses ke — dan dalam — awan dan aplikasi pemastautin

Dalam dunia perniagaan yang terjamin dengan sempurna, semua tanggungjawab pekerjaan akan diasingkan dan akses istimewa akan dihadkan dengan ketat untuk membantu mengurangkan risiko dan melindungi data. Tetapi kita tidak hidup di dunia itu.

Hari ini, pelaku ancaman secara pakar mengeksploitasi perkhidmatan awan yang salah konfigurasi untuk mendapatkan akses kepada rangkaian syarikat, menyulitkan data dan kemudian menuntut wang tebusan yang terlalu tinggi untuk memulihkan data. Kebanyakan pemimpin perniagaan mengiktiraf ancaman: 58% meramalkan peningkatan serangan ke atas perkhidmatan awan pada 2022, yang tertinggi daripada semua jenis insiden, menurut Tinjauan Wawasan Amanah Digital Global PwC 2022. Memandangkan kepantasan dan kecekapan licik pelakon ancaman hari ini, para eksekutif perlu membimbangkan.

Walau bagaimanapun, tidak semua serangan siber membawa cap ibu jari pelakon luar. Tindakan yang disengajakan dan tidak disengajakan oleh pekerja dan pihak ketiga yang dipercayai juga boleh mendedahkan data kepada kompromi. Begini caranya: Pembangun yang mempunyai akses kepada sistem pengeluaran mungkin mengubah suai data pengeluaran secara tidak sengaja, mempercayai bahawa mereka berada dalam persekitaran pembangunan. Begitu juga, pembangun yang mempunyai akses kepada pengeluaran mungkin tanpa disedari mempromosikan perubahan yang tidak diluluskan kepada pengeluaran. Dan pengguna dengan akses tinggi mungkin melakukan tindakan yang melanggar dasar keselamatan dan privasi.

Pengasingan tugas, yang mengasingkan keistimewaan akses yang diperlukan untuk melengkapkan proses antara berbilang pengguna, dan kawalan akses yang ketat boleh membantu syarikat menutup ancaman orang dalam ini. Untuk menjamin akaun yang mempunyai akses kepada perkhidmatan awan, perniagaan harus:

  • Asingkan akses pentadbiran istimewa daripada akaun pengguna
  • Gunakan kata laluan yang kukuh dan pengesahan berbilang faktor
  • Tukar kata laluan lalai
  • Hadkan keistimewaan pentadbiran
  • Automatikkan pengurusan tampalan sistem dan aplikasi
  • Gunakan pengesahan berbilang faktor untuk melindungi VPN dan perkhidmatan protokol desktop jauh (RDP).
  • Sulitkan data semasa rehat dan dalam transit

Mengkonfigurasi pengasingan tugas dan akses istimewa sentiasa menjadi pertukaran antara menerima lebih banyak risiko sebagai balasan untuk kos yang lebih rendah dan penggunaan yang lebih pantas. Berikut ialah soalan yang perlu anda tanya untuk mencapai keseimbangan yang betul:

  • Apakah risiko yang wujud dalam proses perniagaan anda?
  • Di manakah risiko wujud atau mungkin akan muncul?
  • Adakah anda mempunyai pembelian daripada pihak berkepentingan?
  • Pekerja manakah yang sepatutnya mempunyai akses kepada aplikasi dan data yang mana?
  • Bagaimanakah anda mengenal pasti aktiviti pekerja yang tidak normal?
  • Apakah proses pemantauan berterusan yang perlu anda gunakan untuk menyemak akses untuk SoD dan akses istimewa?

Pertimbangan yang teliti terhadap soalan ini boleh membantu anda mengelakkan isu pematuhan semasa projek dan seterusnya.

 

Reka bentuk privasi ke dalam awan

Privasi ialah disiplin kompleks yang menjadi lebih byzantine apabila peraturan berkembang pesat dan pengguna melindungi maklumat peribadi. Menguruskan anjakan ini memerlukan pasukan pengamal privasi yang mahir yang membantu mengekalkan pematuhan dan menggunakan keperluan privasi yang kompleks kepada masalah perniagaan. Kemahiran ini perlu dipuji oleh pasukan pakar keselamatan yang mengetahui lapisan keselamatan aplikasi untuk menterjemahkan keperluan privasi ke dalam tetapan keselamatan aplikasi sebenar.

Tidak lama dahulu, beberapa orang dalam jabatan undang-undang boleh menguruskan keperluan privasi. Hari ini, itu memerlukan pasukan yang lebih besar. Namun tekanan bakat untuk pekerja mahir menyukarkan organisasi untuk membina pasukan privasi yang berkesan. Pemimpin perniagaan mula menyuarakan kebimbangan: Dalam Tinjauan Perniagaan Awan kami, 52% daripada eksekutif berkata kekurangan bakat teknologi adalah penghalang untuk merealisasikan nilai awan.

Memburukkan lagi keadaan ialah kurangnya kecekapan umum dalam privasi. Pertimbangkan, sebagai contoh, bahawa hampir 40% organisasi tidak memahami pelanggaran privasi dan risiko awan yang timbul daripada pihak ketiga dan pembekal. Lebih-lebih lagi, tadbir urus data adalah tulang belakang privasi, namun hanya satu pertiga daripada responden tinjauan yang mempunyai program tadbir urus data rasmi.

Berikut ialah soalan yang boleh membantu anda memahami sebab anda perlu memasukkan privasi ke dalam perjalanan awan anda:

  • Bagaimanakah anda menentukan keperluan privasi untuk projek atau aplikasi baharu?
  • Adakah anda dijangka mengikuti pendekatan "privasi melalui reka bentuk" yang membenamkan kawalan privasi ke dalam sistem dan aplikasi baharu?
  • Bagaimanakah anda menggunakan rangka kerja privasi syarikat anda untuk mengenal pasti keperluan privasi yang berkenaan untuk projek transformasi awan?
  • Adakah anda mempunyai pengetahuan dan kemahiran keselamatan lapisan aplikasi yang diperlukan?
  • Adakah anda mempunyai kawalan dan proses untuk pengurusan pihak ketiga?

Inilah masanya untuk berhubung dengan pasukan privasi syarikat anda dan memetakan jawapan kepada soalan ini — dan pelan privasi baharu.

 

Bina dalam keselamatan siber terkemuka untuk awan

Transformasi awan hampir pasti akan memberi kesan kepada program dan postur keselamatan siber organisasi. Bergantung pada sifat transformasi awan, kesannya mungkin berbangkit.

Soalan utama untuk dipertimbangkan untuk mengukur kesan keselamatan siber dan privasi pada transformasi awan termasuk:

  • Adakah penyelesaian keselamatan siber anda disepadukan dengan penyelesaian identiti dan pengurusan akses (IAM) semasa anda?
  • Adakah anda memahami amalan keselamatan pembangunan aplikasi?
  • Bolehkah anda menilai model ancaman dan seni bina keselamatan?
  • Bagaimanakah anda memantau, mengurus dan mengurangkan insiden dan ancaman keselamatan siber?
  • Bolehkah anda menilai postur pematuhan semasa anda melalui lensa konteks perniagaan dan rangka kerja IT dan keselamatan piawai?

 

Rangka kerja risiko keselamatan awan PwC terdiri daripada 8 pemboleh utama transformasi awan

 

Rangka kerja risiko keselamatan 'cloud' PwC



 

 

 

Daripada risiko kepada keyakinan kepada hasil

Walaupun menghadapi cabaran, ada sebab untuk digalakkan. Eksekutif C-suite memahami peranan kritikal awan dalam mentakrifkan dan mencapai pertumbuhan dan cita-cita operasi syarikat mereka. Ia juga menjanjikan bahawa organisasi mengutamakan pelaburan dalam keselamatan awan untuk melancarkan inovasi, meningkatkan daya tahan dan membayangkan semula perniagaan. Melakukannya boleh membantu mengubah risiko kepada keyakinan - dan akhirnya, pulangan ketara pada pelaburan awan.

 

 

 

 

 

 

 

 

 

Tarikh Input: 24/05/2022 | Kemaskini: 30/05/2022 | nurmiera

PERKONGSIAN MEDIA

BAHAGIAN AUDIT DALAM
Universiti Putra Malaysia
43400 UPM Serdang
Selangor Darul Ehsan
03-9769 1346
03-9769 1346
03-9769 6176
WVMBLA:11:32