Облачные решения для финансового сектора: безопасно или нет?

Опубликовано: 2019-12-16

Поскольку популярность облачного хостинга и программного обеспечения как услуги продолжает расти, те, кто работает в отраслях с высоким уровнем безопасности, должны задать себе вопрос: «Является ли облачный хостинг безопасной платформой для наших услуг»?

Конечно, существует ряд проблем безопасности, о которых поставщики финансовых услуг должны подумать при внедрении новых технологий или методов. Точная и эффективная оценка рисков — это все, что стоит между вашей компанией и катастрофическим крахом.

Давайте рассмотрим некоторые риски, связанные с облачными сервисами для финансового сектора, и то, что мы можем сделать, чтобы снизить эти риски.

Виды облачного хостинга

Существует три основных типа облачного хостинга — общедоступное облако, частное облако и гибридное/мультиоблачное. Общедоступные облачные сервисы размещаются на общих серверах в центрах обработки данных, а оборудование часто принадлежит крупным сторонним поставщикам, таким как Amazon, Google или Microsoft.

Хотя эти провайдеры, как правило, очень безопасны, их размер и важность в глобальной цифровой среде делают их мишенью для государственных и негосударственных злоумышленников. Кроме того, многие хакеры пытаются использовать эти сервисы для проведения атак.

Хостинг в частном облаке может означать, что серверы размещены локально в вашей компании, или это может означать, что вы имеете единоличный контроль над серверами на ферме серверов, на которой они расположены. В любом случае ваша организация несет исключительную ответственность за управление безопасностью, обновлениями , исправления и все остальное, связанное с вашими частными облачными серверами. Более дорогой вариант, и более безопасный только в том случае, если у вас есть подходящий персонал, чтобы поддерживать его в таком состоянии.

Некоторые поставщики облачных услуг предложат вам частный облачный хостинг на своих серверах. Очень важно знать, размещено ли их частное облако на их территории или в стороннем центре обработки данных. Правила, касающиеся некоторых отраслей, включая финансовый сектор, могут требовать, чтобы вы размещали некоторые службы локально.

Вы должны иметь возможность узнать, как проверяется персонал, имеющий физический доступ к серверам, независимо от того, кому принадлежит центр обработки данных или серверы. Обращайте внимание на поставщика облачных услуг, включая наличие финансового аудита, аудита соответствия и безопасности. Нет необходимости рисковать будущим вашей компании с поставщиком, который не может помочь вам оправдать ожидания вашего клиента в отношении безопасности или соответствия требованиям.

Мультиоблачное или гибридное облачное решение может помочь решить некоторые из этих проблем, размещая данные и службы, которые должны быть более безопасными, на локальных частных серверах. Менее важные приложения и данные могут размещаться у поставщика услуг или в тщательно выбранном стороннем центре обработки данных.

Чем опасен облачный хостинг?

Риски существуют на каждом уровне цифровой службы, размещенной в облаке, от безопасности журналов клиентов до проблем с общей оперативной памятью на общедоступных облачных серверах. Везде, где данные совместно используют соединения или оборудование с другими службами или клиентами, является потенциальным источником проблем. Некоторые из этих рисков будут одинаковыми для любой онлайн-службы, но другие характерны для облачной архитектуры.

Риски, связанные с людьми

От небрежного выбора пароля клиентом до гнусной деятельности сотрудников фермы серверов мир интернет-сервисов полон угроз безопасности. На что следует обратить внимание, так это на провайдеров, которые арендуют свое серверное пространство через третью сторону, а также на провайдеров, которые уже пострадали от утечки данных или другой серьезной атаки (особенно если они не устранили причину).

Проверьте процедуры проверки персонала, проверки безопасности и соблюдения нормативных требований каждой компанией, которая вступает в контакт с вашими данными, прежде чем они попадут к вашим клиентам. Предоставьте необходимое обучение и ресурсы для защиты ваших сотрудников и клиентов.

Аппаратные риски

Существует несколько типов атак, использующих совместно используемое оборудование путем пересечения границ контейнера между различными процессами на одном сервере. Хотя такие атаки случаются редко и их трудно успешно осуществить, потенциальные выгоды могут сделать ваши услуги особенно привлекательной мишенью. Частное облако может смягчить некоторые из этих проблем, но частное облако влечет за собой множество других требований, как финансовых, так и юридических.

Программные риски

Вы должны убедиться, что ваши поставщики SaaS и инфраструктуры как услуги (IaaS) могут подтвердить свои финансовые возможности, соответствие требованиям и возможности обеспечения безопасности. Старайтесь следить за хорошо зарекомендовавшими себя поставщиками с проверенной репутацией в сфере финансовых услуг. Если возможно, выберите поставщика, у которого есть программа вознаграждения за обнаружение ошибок, и убедитесь, что он исправляет эти ошибки быстро и эффективно.

Проблемы соответствия

Проблемы соответствия — бич современного цифрового мира. Вашей компании потребуется экспертная юридическая и техническая консультация по любой новой технологии, которую вы хотите внедрить, по крайней мере, если вы хотите избежать штрафов и других проблем, связанных с соблюдением нормативных требований.

В разных странах действуют разные правила, касающиеся защиты данных и мер безопасности, которые необходимо предпринять при планировании развертывания новых облачных сервисов.

IIF: Облачные вычисления в финансовом секторе, часть 2: барьеры для принятия

Если вы найдете поставщика облачных услуг, который хорошо разбирается в законах и правилах соответствия, применимых к вашему бизнесу, вы обнаружите, что соблюдение этих правил становится легким. Фактически, хороший провайдер с нужным опытом сможет предупредить вас, если что-то, что делает ваша компания, может подвергнуть вас риску.

Резюме: Стоят ли облачные сервисы риска?

В конце концов, это решать вам и вашему совету директоров. Во-первых, рассмотрим некоторые преимущества, которые облачные сервисы могут дать финансовому сектору. Многие функции, такие как продажи и маркетинг, оптимизация взаимодействия с клиентом, планирование ресурсов и коммуникаций и многое другое, могут быть реализованы без особой безопасности.

При правильной настройке гибридного облака можно предлагать клиентам цифровые услуги, которые они привыкли ожидать от крупных корпораций, без ущерба для их безопасности. Цифровая трансформация никуда не денется, а ожидания клиентов только возрастут.

Надлежащая забота и внимание на этом этапе цифровой трансформации финансовой отрасли означает, что не должно быть необходимости избегать использования облачных сервисов.

Примечание редактора: этот гостевой пост был написан Джерри Чуа. Обладая более чем 20-летним управленческим опытом в ИТ-индустрии, Джерри в настоящее время является директором по маркетингу Azeus Convene . Convene используется правительствами и компаниями из списка Fortune 500 в более чем 90 странах. Это мощный инструмент повышения производительности, предназначенный для оптимизации и оцифровки совместной работы.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.