הקדמה
פלטפורמת מחשוב ענן המספקת למשתמשים מגוון רחב של שירותים, כגון: אחסון, חישוב, אבטחת מסד נתונים, רשתות ועוד. המעבר לשירותי ענן נפוץ מאוד כיום וארגונים רבים עברו לשימוש בשרותי ענן פרטי או ציבורי ולא בכדי.
לענן יתרונות רבים, כגון: התמקדות בליבה העסקית, עלות נמוכה, גמישות תפעולית, יעילות משופרת ושרידות. שירותי ענן חוסכים למשתמשים את עלויות רכישת הציוד ותחזוקתו, חסכון בעלויות חשמל ועלויות העבודה האנושית הדרושה לניהול ותחזוקה של התשתית. כל אלה תורמים לתוצאות טובות, מהירות וזולות יותר מאשר שימוש במערכות מחשוב פנימיות.
עם זאת, המעבר לענן מחייב התמודדות עם אתגרים ייחודיים במגוון תחומים, אך הדיון כאן יתמקד באבטחת מידע והתמודדות עם סיכוני סייבר. לצורך הגברת המודעות בסיכוני דלף מידע, מערך הסייבר הלאומי פרסם מסמך קצר המפרט 5 נקודות מהותיות אשר יש להתייחס ולהתמודד אתן לפני שעוברים לענן.
ספק שרותי ענן
לאור שיקולי עלות תועלת אל מול שמירה על מידע, קיימת חשיבות רבה לאיתור ספק שרותי ענן מתאים לצורכי המשתמש. כך גם לסוג הספק ולאופן שבו הוא מתייחס לסיכונים השונים משמעות הרת גורל, הן בהתנהלות השוטפת והן במעבר מספק אחד למשנהו. לפני המעבר לספק שרותי ענן חשוב מאוד להבין אילו שירותים ניתנים, זמינות, רמת יכולות הספק ועמידתו בסטנדרט המתאים לסוג המידע המיועד לאחסון.
הגדרת אחריות ברורה בהסכם
האחריות הנובעת משימוש בשרותי ענן הינה אחריות משותפת המונחת על כתפי ספק שרותי הענן והמשתמש. חלוקת האחריות משתנה בהתאם לסוג השירות וצורכי הלקוח. יחד עם זאת, ניתן לומר כי הספק אחראי על מתן הגנה לענן, בעוד שהמשתמש אחראי על יישום הגנה בתוך סביבת הענן בו הוא משתמש, כגון ניהול יישומים, הגדרת הגדרות רשת, הצפנת מידע רגיש וגיבוי נתונים. חלוקת האחריות תלויה ביכולות ספק שרותי הענן מחד ויכולות המשתמש מאידך. בנסיבות אלה, חשוב מאוד להבטיח כי יש הסכם בין הספק למשתמש והסכם זה מגדיר באופן מפורש ומוגדר את גבולות גזרת האחריות המונחת על כתפי כל צד.
הגדרת תצורה מקצועית
יישום לא מקצועי של הגדרות סביבת הענן ובקרת הגישה למידע המאוחסן בענן, מהווה אחד מן הגורמים השכיחים לפגיעה במידע. בכדי להקטין את הסיכון לדלף מידע, על המשתמש להבין היטב את טכנולוגיית הענן או לשכור שרותי בעל מקצוע אשר מכיר את סביבת הענן וכיצד להגדירה כך שתתאם בדיוק לצורכי המשתמש מבלי לפגוע בשלמות המידע.
שליטה במידע
למרות שדרישה זו אינה טכנולוגית במהותה, גורם המחזיק במידע רגיש חייב לשלוט במידע ולשם כך עליו לקבוע נהלים ומדיניות לאיסוף, אחסון ושימוש במידע. בחלק ניכר מן המדינות המתקדמות, קיימת דרישה מפורשת בחוק כי כל מי שמחזיק במידע פרטי, בין אם לצורכי אחסון ובין אם לשימוש כלשהו, חייב ליצור מדיניות ברורה אשר תקטין את הסיכון בדליפת מידע רגיש.
גישה למידע
מטבע הדברים, בכדי לעשות שימוש במידע יש צורך בגישה אל המידע כמו גם היכולת לשנע את המידע ולעבדו. שלושת פעולות אלה מחייבות ממשקים שונים עם סביבת הענן. השימוש בטכנולוגיות אלה מגביר את הסיכון בדלף מידע ולכן חשוב מאוד כי הטכנולוגיה בה עושים שימוש נבדקה כעמידה ומתאימה לשימוש המדובר וכן כי הוגדרה באופן מקצועי בהתאם לסוג המידע ולצרכים השונים במידע.
סיכום
במידה ועברתם או עומדים לעבור לשרותי ענן, עליכם לוודא כי התייחסתם לכל אחת מן הנקודות בכובד ראש ודאגתם לבצע את כל הנדרש בכדי להקטין את הסיכון בפגיעה בשלמות או בחיסיון המידע. אחרת, תמצאו עצמכם בבעיה לא פשוטה וכנראה מאוד מאוד יקרה.