В своем отчете “Building Trust in the Cloud” (“Формирование доверия в облаках”) за 2014 г. компания EY (бывшая Ernst & Yang) отмечает рост популярности облачных вычислений за последние семь лет. В 2010 г. только 30% респондентов, принявших участие в подготовке обзора Global Information Security Survey, сообщили о том, что их компании используют или планируют использовать облачные вычисления, а к 2012 г. число таких респондентов подскочило до почти 60%.
Чтобы успешно развернуть облака, компании должны сфокусироваться на создании защищенной, доверенной и пригодной к аудиту облачной среды.
Джастин Грейс, старший менеджер консалтингового подразделения EY, уверен, что в этом году тенденция сохранится. В своем письме изданию Baseline он отметил, что многие корпоративные системы, перенос которых в облака считался нецелесообразным или невозможным, сегодня вполне допускают такой перенос.
“Организациям, которые в течение многих лет не инвестировали в ИТ, облака дают реальную возможность существенно расширить свои возможности, -- написал Грейс. – Организациям, которые шли в ногу с технологиями, облака обеспечивают гибкость, масштабируемость, интероперабельность и возможность экономии затрат. Трудно игнорировать такие преимущества. Мы считаем, что облака будут использоваться все шире и шире, и в самом ближайшем будущем каждая организация будет поддерживать какую-то часть своего ключевого бизнеса через облака”.
Несмотря на усиление тренда к развертыванию облачных вычислений, 38% участников опроса EY по безопасности, сообщили, что не приняли меры к уменьшению связанных с безопасностью рисков. Другие отметили, что их руководство препятствовало внедрению облаков из опасения нарушения конфиденциальности корпоративных данных при передаче через публичные сети, а также в силу имеющихся сомнений по поводу законодательных норм и установленных контролирующими органами правил в отношении передачи данных через международные границы.
Чтобы обеспечить безопасное и эффективное использование облаков, EY рекомендует руководителям компаний переключить свое внимание на создание защищенных, доверенных и пригодных для аудита облачных сред. Поддержка такой среды требует соответствующих элементов управления и процедур, которые реализуются в рамках следующих шести составляющих категорий: организация, технологии, данные, операции, аудит, соответствие нормативным требованиям, управление.
По словам Грейса, демонстрируемый компаниями уровень зрелости в каждой из этих категорий, как правило, зависит от того, к какой индустрии или к какому сектору данная компания принадлежит. Например, компании финансового сектора обычно сильны в том, что касается данных, а учреждения, связанные с хранением и обработкой персональной информации о состоянии здоровья, обычно продвинуты в области аудита и соответствия нормативным требованиям.
“Предлагаемая модель вовсе не требует от компаний, чтобы каждый контрольный элемент располагался в соответствующем облаке, -- пояснил он. – Но она действительно заставляет компании анализировать облачную среду и на основе оценки рисков принимать решение о том, подвергнут ли они себя неоправданному риску или расширят свои возможности”.
Компании, в которых ИТ-руководители игнорируют облачные вычисления или стараются их избегать, могут столкнуться с проблемой теневых ИТ, когда сотрудники начнут самостоятельно использовать облачные решения, увеличивая таким образом риски, связанные с обеспечением информационной безопасности, и обусловливая появление иных проблем. Как считает Фауаад Хан, возглавляющий в американском отделении EY облачное направление, теневые ИТ могут стать проблемой для компаний, которые продолжают воспринимать облака как досадную помеху, а не как решение, которое вполне может соответствовать необходимым им требованиям.
“Очень важно, чтобы компании осознали, что облака уже нарушили их периметр, и им необходимо принять меры к созданию безопасной, доверенной и пригодной для аудита среды, -- говорится в электронном письме Хана изданию Baseline. – В отсутствие эффективной облачной среды теневые ИТ очень скоро затмят традиционные ИТ”.