Memindahkan TI perusahaan ke cloud dipandang sebagai hal yang masuk akal untuk dilakukan oleh banyak perusahaan karena memiliki banyak daya tarik termasuk biaya, penghematan ruang, pengurangan jumlah karyawan, dan bonus kinerja. Paradigma keamanan yang telah dicoba dan diuji sekarang dipandang tidak sepenuhnya cocok untuk tujuan yang melibatkan operasi berbasis cloud. Tapi apakah ini masalahnya? Apakah ada tren yang mungkin menawarkan peningkatan manajemen keamanan dan dengan demikian peningkatan postur keamanan.

Meskipun ada pilihan alat pemantauan dan manajemen yang baik yang tersedia untuk dunia TI fisik dan virtual, sebagian besar alat ini akan berada dalam jangkauan operator cloud atau kontraktornya, bukan pelanggan akhir.

Jadi, aspek keamanan TI apa yang secara wajar dapat diharapkan oleh pelanggan untuk dikendalikan dan bagaimana pengendalian tersebut dapat dilakukan?

Titik awalnya adalah agar grup keamanan mengidentifikasi area utama TI perusahaan, di mana lokasinya dan untuk tujuan apa (AAA, email, firewall, dll.) menggunakan teknologi apa dan mengidentifikasi siapa yang memiliki dan mengelola apa.

Setelah latihan pemetaan TI ini harus ada pengembangan daftar aset data yang komprehensif dan lengkap yang mengidentifikasi di mana semua data berada, siapa yang memiliki data, nilai apa yang dimiliki data, siapa (atau apa) yang dapat mengakses data dan untuk tujuan apa.

Kedua tugas ini kemudian akan dimasukkan ke dalam a analisis risiko yang komprehensif dan peta yang mengidentifikasi siapa yang memiliki kendali apa atas berbagai bagian. Kami mengidentifikasi di mana perusahaan memiliki kendali langsung, di mana ia memiliki kendali tidak langsung, dan di mana ia tidak memiliki kendali.

Kontrol langsung

Di sinilah perusahaan memiliki (atau menyewa) perangkat dan memiliki tanggung jawab operasional langsung untuk pemeliharaan dan pengelolaannya. Di sini perusahaan membutuhkan kebijakan dan prosedur terkini yang komprehensif dan staf terlatih yang sesuai.

Kontrol tidak langsung

Di sini perusahaan menggunakan perangkat atau layanan yang dimiliki dan dioperasikan oleh pihak ketiga seperti kasus umum untuk TI berbasis cloud. Di sini perusahaan memerlukan kontrak layanan untuk mencakup persyaratan keamanan perusahaan secara komprehensif, mungkin paling baik dilakukan dengan lampiran yang dapat diperbarui tanpa memerlukan negosiasi ulang kontrak utama. Persyaratan keamanan tersebut harus mencakup mekanisme dan prosedur pelaporan insiden.

Perlu dicatat bahwa penyedia layanan cloud umumnya akan memiliki sejumlah fungsi dan layanan yang disewa atau disewa dari pihak ketiga lainnya dan kontrak perlu mengidentifikasi bagaimana layanan atau fasilitas ini dikelola oleh penyedia keras. Juga perusahaan cloud yang sangat besar akan memiliki sejumlah pusat operasional di berbagai belahan dunia dan menggunakan skema manajemen “mengikuti matahari”. Pemeriksaan staf mungkin tidak memiliki standar yang sama di setiap negara dan seringkali kontraktor dapat digunakan dan sekali lagi prosedur pemeriksaan perlu diatur dalam kontrak utama (atau lampiran kontrak).

Tidak ada kontrol

Di sinilah perusahaan perlu mengambil langkah-langkah untuk memastikan keamanan di tempat yang tidak memiliki kendali. Contoh yang baik adalah menggunakan enkripsi ujung ke ujung di mana data dibawa melalui internet atau jaringan pihak ketiga lainnya.

Kesimpulannya, tanpa mengetahui nilai dari data yang dimiliki dan atau diproses oleh perusahaan Anda, dimana data tersebut berada dan siapa atau apa yang harus diperbolehkan untuk mengakses data tersebut dan untuk tujuan apa. Anda tidak dapat secara realistis melakukan analisis risiko dan ancaman TI Anda yang efektif dan tanpa analisis risiko dan ancaman tersebut serta pemahaman komprehensif tentang peta TI Anda dan rantai pasokannya, sehingga apa yang berada di bawah kendali langsung dan tidak langsung Anda (peta TI) Anda tidak dapat secara efektif mengamankan perusahaan Anda dan datanya.