Symantec и Ponemon Institute объявили о результатах проведенного совместными
усилиями опроса IT-профессионалов. По итогам исследования выяснилось, что
большинство организаций испытывают нехватку инструментария, процедур и политик,
позволяющих обеспечить безопасность важной информации, хранимой в облачной
среде.
Несмотря на растущую озабоченность вопросами безопасности в увеличивающейся
среде облачных вычислений, только 27% опрошенных специалистов сообщили о том,
что в их организациях введены процедуры контроля облачных приложений,
использующих важную или конфиденциальную информацию.
Кроме того, в 68% фирм ответственность за выбор поставщика решений для
создания облачного окружения лежит на конечных пользователях или финансовых
менеджерах, а не на IT-профессионалах. На регулярной основе к процедуре принятия
подобных решений специалисты привлекаются лишь в каждой пятой компании, а в
каждой четвертой организации они вообще никогда не участвуют в данном процессе.
При этом полноценная оценка поставщиков перед развертыванием облачных решений
проводится лишь в 30% случаев.
Прочие результаты опроса:
- Оценка облачных сервисов часто проводится на основании голословных
утверждений поставщиков (65%), контрактных соглашений (55%) и заверений
разработчиков (53%). Только 23% организаций требуют соответствия стандартам
безопасности, подобным SAS 70, в 18 процентах случаев оценка рисков
осуществляется собственными силами и лишь 6% фирм прибегают к помощи
сторонних аудиторов. - Более 75% респондентов признали, что миграция в облачную среду прошла
далеким от идеала способом вследствие недостаточного контроля за конечными
пользователями. - Лишь 19% компаний проводят общие тренинги, посвященные безопасной работе
в облачной среде. 42% организаций проводят подобные тренинги без учета
специфики облачных приложений.
Рекомендации:
- Введение политик и процедур, четко обозначающих важность защиты ценной
информации в облачной среде. - Развертывание инструментов и введение процедур надзора, позволяющих
классифицировать данные по степени важности и оценить имеющиеся угрозы. - Оценка состояния информационной безопасности сторонних организаций перед
предоставлением ценных и конфиденциальных данных. - Обучение персонала методам снижения риска утечки важной информации перед
развертыванием облачных приложений.
