Результаты опроса ИТ-профессионалов, проведенного корпорацией Symantec и Ponemon Institute, выявили тревожную картину в том, что касается подходов компаний к реализации безопасности облачных вычислений. Согласно этому опросу, многие организации относятся к внедрению облачных технологий без должной ответственности, хотя ситуация требует особого внимания. Так, лишь немногие из опрошенных при использовании облачных сервисов применяют проактивные технологии для защиты критически важных бизнес-процессов и клиентских данных. Менее 10% из них сообщили о выполнении каких-либо проверок или проведении тренинга персонала с целью убедиться в том, что облачные вычисления удовлетворяют требованиям ИБ, прежде чем облачные приложения были развернуты.
Лишь 30% респондентов сообщили о том, что перед развертыванием облачных продуктов постарались оценить их вендоров, а 65% при этом понадеялись на “сарафанное радио”, 53% положились на гарантии поставщиков и только 23% потребовали от вендоров доказательств соответствия ИБ стандартам, в частности стандарту операционного аудита Statement on Auditing Standards (SAS 70).
Как считают исследователи, полученные результаты могут быть обусловлены неверными представлениями персонала о том, кто отвечает за оценку облачного вендора. Например, 45% опрошенных сообщили, что за это отвечают конечные пользователи, в то время как 23% считают, что бизнес-руководство; 11% возложили эту ответственность на корпоративную ИТ-команду, а 9% упомянули службу ИБ.
Вместе с тем 69% считают, что возглавить подобную работу должна либо службу ИБ (35%), либо ИТ-отдел (34%). Однако в большинстве случаев ИБ-служба не привлекается к подготовке решений по вопросам, имеющим отношение к облачным вычислениям. Только 20% опрошенных сообщили, что их ИБ-служба участвует в этом на регулярной основе, тогда как в 25% компаний она вообще никогда к этому не привлекается.
“Облачные вычисления открывают многообещающую перспективу как инструмент реализации многих важных бизнес-услуг. Однако наши исследования выявили существенные недостатки, относящиеся к обеспечению безопасности критически важной корпоративной персональной информации, в процессе активных попыток компаний эту технологию использовать, — считает Ларри Понемон, руководитель и основатель Ponemon Institute. — Чтобы при переходе к облакам обеспечить должный подход к вопросам ИБ, мы советуем компаниям немедленно внедрить политики и процессы определения квалификации облачных вендоров. Эти вендоры должны быть готовы к большей прозрачности для клиентов”.
Данные исследования Cloud Development Survey, проведенные в самом начале 2010 г. компанией Evans Data, показывают, что у 61% из более чем 400 разработчиков хотя бы часть корпоративных ИТ-ресурсов переместится в течение следующего года в облака. Согласно совместным исследованиям Symantec и Ponemon Institute, наиболее популярными облачными сервисами являются бизнес-приложения наподобие тех, что предлагает Salesforce.com (71%), и приложения P2P. Хотя популярность облаков растет, в отношении ИБ компании по-прежнему находятся в состоянии “слепого полета”, утверждает Джастин Сомэйни, директор по ИБ компании Symantec.
“Сегодня компании нуждаются в более строгом руководстве в области управления корпоративной информацией и обеспечения конфиденциальности в облаках, — сказал Джастин Сомэйни. — Успех облачных вычислений связан с доверием и конфиденциальностью, которые могут быть обеспечены лишь тогда, когда все подходы и операции, связанные с облачными инициативами, станут более понятными и доступными для ИБ-команд”.
