Риски и ставки растут по мере того, как компании переносят все больше ИТ в облако, пишет на портале InformationWeek Мэри Шеклет, президент консалтинговой компании Transworld Data.
Согласно Snyk «2022 State of Cloud Security Report», 80% опрошенных в 2022 г. компаний признали, что пережили хотя бы один инцидент, связанный с безопасностью облачных вычислений. Затем, в середине 2023 г., 94% опрошенных Zippia американских компаний сообщили, что используют хотя бы один из видов облачных сервисов.
Популярность переноса ИТ в облако неоспорима, а темпы внедрения облачных технологий пугают. Однако по мере того, как компании переводят все больше ИТ-сервисов в облако, возникают вопросы о том, готовы ли они управлять облачными рисками в таких областях, как кибербезопасность, обработка данных, защита интеллектуальной собственности и администрирование.
«Риски существуют, и действительно более половины организаций столкнулись с проблемами за последний год, — утверждает KPMG. — Среди них — задержки в работе ИТ, потеря данных, снижение производительности, сбои в работе приложений, нарушение нормативных требований и снижение способности предоставлять услуги.»
Все это не случайные события. Сбой в работе облака или крупная утечка данных или безопасности, как, например, недавняя утечка данных с сайта ZeroedIn, может пошатнуть репутацию и даже выжить компании. Тем не менее многие компании не включают облако в список вопросов управления рисками.
Каковы же общие проблемы управления рисками, которые компании все же отслеживают и планируют?
Большинство из них связаны с опасностями, угрожающими финансовому балансу, например, слишком большое количество рискованных кредитов на балансе, если вы финансовая организация, или слишком большое количество поставщиков из рискованных регионов мира, если вы производитель. Киберугрозы и аварийное восстановление ИТ-систем также стали предметом озабоченности при управлении рисками, но лишь немногие организации распространили управление рисками на своих поставщиков облачных услуг.
И поднять этот вопрос должен именно CIO.
Облачные риски, которыми должны управлять компании
Риски, связанные с использованием облачных сервисов, включают в себя такие ИТ-проблемы, как нарушение безопасности, некачественное обслуживание, ненадлежащая обработка данных и нарушение конфиденциальности. Но они также распространяются на ответственность, соответствие нормативным требованиям и страхование.
Рассмотрим их подробнее.
Кибербезопасность и риски киберстрахования. Киберстрахование — это все еще развивающаяся область, в которой страховые компании отстают от технологических достижений. Это само по себе является риском, поскольку страховщики могут не предлагать или не распространять страховое покрытие на случаи нарушения безопасности в облаке.
Компании также могут оказаться неподготовленными. Большинство из них уже расширили страховое покрытие ответственности бизнеса, включив в него кибератаки на свои сети, периферийные устройства и внутренние ИТ. Таким образом, они могут считать, что защищены, даже если нарушение произойдет в облаке. К сожалению, существующие корпоративные полисы киберстрахования могут не распространяться на страховую защиту от катастрофических киберпроисшествий, произошедших на внешнем облачном сервисе, который использует застрахованная компания.
Следует также отметить, что в стандартных договорах, которые поставщики облачных услуг заключают со своими клиентами, даются гарантии «максимальных усилий» в случае нарушения безопасности облака или отказа в обслуживании, но эти договоры редко гарантируют, что поставщик облачных услуг возьмет на себя финансовую ответственность за любые убытки.
Частью управления рисками является обеспечение страховой защиты на случай катастрофических событий, таких как нарушение безопасности или утечка данных в облаке. Стратегия управления рисками должна включать встречу с поставщиком страховых услуг, чтобы убедиться, что ваше киберстрахование покрывает события, которые могут произойти в облаке, так же как события в локальной ИТ-сети.
То же самое относится и к облачным операциям, таким как обработка и хранение данных.
Риски интеллектуальной собственности и владения ИТ. Если вы подписываетесь на облачное предложение SaaS (программное обеспечение как услуга), например ERP-систему, CRM-систему или платформу ИИ и аналитики, знаете ли вы, кому принадлежат уникальные модули и отчеты, которые вы разрабатываете на этой платформе для своей компании?
Некоторые облачные провайдеры скажут, что, поскольку вы используете их платформу, они могут свободно переупаковывать и продавать или передавать вашу работу другим, в то время как иные будут готовы договориться с вами, чтобы вы сохранили свою работу в тайне и обеспечить конфиденциальность, и чтобы вы могли забрать ее с собой, если решите перейти к другому облачному провайдеру.
Сегодня есть крупные предприятия, которые продолжают использовать свои системы на мэйнфреймах с устаревшими ОС, потому что они разработали запатентованные системы «секретного соуса», которые дают им явное конкурентное преимущество на своих рынках. Компании будут продолжать разрабатывать приложения, обеспечивающие конкурентные преимущества, когда их системы перейдут в облако. При этом они должны заранее знать, будет ли их разработка принадлежать им, а также определить риск потери этой интеллектуальной собственности и то, что они могут сделать, чтобы предотвратить потерю.
В рамках стратегии управления рисками компаниям следует уделять приоритетное внимание защите своей интеллектуальной собственности в переговорах с поставщиками облачных услуг.
Риски, связанные с соблюдением нормативных требований. Отраслевые облачные платформы для здравоохранения, финансов и других отраслей промышленности гарантируют соответствие общим стандартам безопасности и конфиденциальности, а также нормативным актам, регулирующим конкретные отрасли, которые они обслуживают.
Однако наличие обязательств еще не означает, что безопасность и управление облаком соответствуют современным требованиям или вашим собственным.
В рамках постоянного управления рисками ИТ-отдел должен требовать от поставщиков облачных вычислений предоставления последних отчетов об аудите ИТ-безопасности и соответствия нормативным актам. Когда внешние ИТ-аудиторы и регулирующие органы наносят визиты для оценки безопасности компании и соответствия нормативным требованиям, эти проверки должны включать изучение документов по безопасности и администрированию внешних облачных провайдеров. Это гарантирует, что все участники цепочки поставок ИТ соответствуют нормативным требованиям и что нет никаких рисков, связанных с соблюдением нормативных требований или нормативно-правовым регулированием.
Заключительные замечания
Вопросы управления рисками, возникающие вместе с ростом применения облака, выходят далеко за рамки ИТ. Они должны быть включены в систему управления рисками в масштабах всего предприятия и должны рассматриваться на уровне совета директоров.
Вот причины для этого:
Во-первых, многие критически важные системы и приложения доверяются облакам. Перенося их туда, предприятия должны быть уверены, что существующие страховые покрытия деловой и кибер-ответственности будут распространяться и на них.
Во-вторых, перенося критически важные системы в облако, предприятия отстраняются от непосредственного контроля за безопасностью, администрированием и соблюдением нормативных требований. Это повышает риски.
В-третьих, корпоративное управление рисками и переговоры о страховании ответственности бизнеса на предприятиях не подконтрольны CIO. Эти вопросы часто находятся в ведении финансовой группы при непосредственном надзоре со стороны совета директоров и генерального директора. CIO пора настоять на включении ИТ и облачных сервисов в систему управления корпоративными рисками и контроля на уровне совета директоров, потому что на карту поставлено слишком многое.