Όσον αφορά την εξασφάλιση πολύτιμ
ω
ν επιχειρηματικών δεδομένων, πόσο ασφαλές είναι «το σύννεφο»; Πρόσφατα περιστατικά κατέστησαν σαφές ότι ακόμη και οι πιο φημισμένες υπηρεσίες υπολογιστικού νέφους δεν είναι απρόσβλητες από ατυχίες, αντιμετωπίζοντας κινδύνους που κυμαίνονται από πυρκαγιές σε κέντρα δεδομένων έως εσφαλμένες διαμορφώσεις και επιθέσεις στον
κυβερνοχώρο
, καθιστώντας όλο και πιο σημαντικό για τις επιχειρήσεις να επανεξετάσουν τις στρατηγικές διαχείρισης δεδομένων τους, ειδικά αυτές που επικεντρώνονται στο cloud – Αποθηκευτικός χώρος με βάση.
Κακή διαχείριση δεδομένων στο cloud
Τον Μάιο του 2024, ο λογαριασμός Google Cloud ενός αυστραλιανού παρόχου χρηματοοικονομικών υπηρεσιών διαγράφηκε λόγω εσφαλμένης διαμόρφωσης. Αυτό είχε ως αποτέλεσμα περισσότεροι από μισό εκατομμύριο πελάτες να χάσουν την πρόσβαση στα οικονομικά τους δεδομένα για μια εβδομάδα. Ομοίως, μια επίθεση ransomware στον πάροχο υπηρεσιών cloud Tietoevry με έδρα τη Φινλανδία επηρέασε ιδιωτικές εταιρείες, πανεπιστήμια και κυβερνητικές αρχές σε όλη τη Σουηδία, δείχνοντας ότι υπάρχουν ευπάθειες στο cloud σε πολλαπλά μέτωπα.
Αυτά τα παραδείγματα, μεταξύ άλλων, δείχνουν ότι τα δεδομένα που αποθηκεύονται στο cloud είναι επιρρεπή σε κινδύνους συγκρίσιμους με αυτούς που επηρεάζουν τα τοπικά αποθηκευμένα δεδομένα. Εξάλλου, το «σύννεφο» είναι στην πραγματικότητα απλώς διακομιστές που στεγάζονται σε κέντρα δεδομένων, οι οποίοι είναι τόσο ευάλωτοι σε φυσικές απειλές και απειλές στον κυβερνοχώρο όσο οποιαδήποτε άλλη υποδομή πληροφορικής.
Συνιδρυτής και CISO, Cyber Upgrade.
Ένα εξελισσόμενο ρυθμιστικό τοπίο
Το διακύβευμα της σωστής διαχείρισης δεδομένων είναι υψηλότερο από ποτέ, δεδομένου ότι η απώλεια δεδομένων μπορεί να οδηγήσει σε δαπανηρές επιχειρηματικές διακοπές και σοβαρή ζημιά στη φήμη. Επιπλέον, οι ρυθμιστικές αρχές επιβάλλουν πλέον αυστηρότερα μέτρα για το χειρισμό δεδομένων και ψηφιακής υποδομής. Ο Νόμος για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), για παράδειγμα, στοχεύει να διασφαλίσει ότι οι χρηματοοικονομικές οντότητες στην Ευρωπαϊκή Ένωση είναι έτοιμες να μετριάσουν αποτελεσματικά τους κινδύνους στον κυβερνοχώρο. Ομοίως, η οδηγία για τα δίκτυα και τα συστήματα πληροφοριών (NIS2) επιδιώκει να ενισχύσει την ασφάλεια στον κυβερνοχώρο σε τομείς κρίσιμους για την ευρωπαϊκή οικονομία, όπως η ενέργεια, οι μεταφορές και η υγειονομική περίθαλψη.
Αυτά τα ρυθμιστικά πλαίσια και οι κυρώσεις που επιβάλλουν για μη συμμόρφωση, καθιστούν επιτακτική ανάγκη για τις εταιρείες να επανεξετάσουν τις τρέχουσες στρατηγικές διαχείρισης δεδομένων. Το να βασίζεσαι αποκλειστικά σε λύσεις αποθήκευσης cloud τρίτων χωρίς την εφαρμογή αυστηρών εσωτερικών ελέγχων μπορεί να οδηγήσει σε παραβάσεις, με αποτέλεσμα σημαντικές κυρώσεις και απώλεια της εμπιστοσύνης των πελατών. Η εφαρμογή μιας ισχυρής στρατηγικής δημιουργίας αντιγράφων ασφαλείας δεδομένων που συμμορφώνεται με αυτούς τους κανονισμούς δεν είναι πλέον προαιρετική αλλά αναγκαιότητα.
Συγκεκριμένα βήματα για δημιουργία αντιγράφων ασφαλείας δεδομένων μηδενικής εμπιστοσύνης
Μια ισχυρή στρατηγική δημιουργίας αντιγράφων ασφαλείας θα πρέπει να προστατεύει τις εταιρείες όχι μόνο από απώλεια δεδομένων λόγω διακοπών στο κέντρο δεδομένων, αλλά και από άλλες απειλές όπως ransomware και επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών.
Ένα ολοκληρωμένο σχέδιο διαχείρισης δεδομένων θα πρέπει να περιλαμβάνει τη διατήρηση αντιγράφων ασφαλείας που είναι παλαιότερα των έξι μηνών, ώστε να διασφαλίζεται ότι τα ιστορικά δεδομένα και τα αρχεία καταγραφής είναι διαθέσιμα όταν χρειάζεται, για εγκληματολογικούς σκοπούς. Ταυτόχρονα, οι επιχειρήσεις θα πρέπει να διασφαλίζουν αυξητική ασφάλεια δεδομένων χρησιμοποιώντας έναν συνδυασμό αντιγράφων ασφαλείας βάσης, αντιγράφων ασφαλείας Write Ahead Log (WAL), πλήρεις στιγμιότυπα συστήματος και πλήρεις αποσπάσεις δεδομένων. Επειδή τα μεμονωμένα αντίγραφα ασφαλείας μπορεί να είναι ευάλωτα σε τοπικές επιθέσεις στον κυβερνοχώρο ή πυρκαγιές, είναι απαραίτητο να αποθηκεύονται πανομοιότυπα αντίγραφα ασφαλείας σε διαφορετικές γεωγραφικές τοποθεσίες, ιδανικά σε απόσταση τουλάχιστον 25 μιλίων μεταξύ τους.
Ωστόσο, ακόμη και αυτά τα μέτρα μπορεί να μην είναι επαρκή χωρίς πρόσθετα επίπεδα εσωτερικής ασφάλειας. Όλα τα αντίγραφα ασφαλείας πρέπει να είναι
κρυπτο
γραφημένα, για να διασφαλίζεται η ακεραιότητα και η εμπιστευτικότητα των δεδομένων και η πρόσβαση στα αντίγραφα ασφαλείας πρέπει να περιορίζεται μόνο σε περιορισμένο, εξουσιοδοτημένο προσωπικό. Επιπλέον, θα πρέπει να διατηρείται ένα αρχείο καταγραφής όλων των παρουσιών αντιγράφων ασφαλείας για σκοπούς παρακολούθησης και ελέγχου.
Οι περιοδικές αξιολογήσεις είναι επίσης καθοριστικές. Οι διαδικασίες δημιουργίας αντιγράφων ασφαλείας θα πρέπει να ελέγχονται μηνιαίως για να διασφαλίζεται ότι είναι αξιόπιστες και συνεπείς και θα πρέπει να διενεργείται πλήρης δοκιμή ανάκτησης τουλάχιστον μία φορά το χρόνο για να επικυρώνεται η αποτελεσματικότητα της στρατηγικής δημιουργίας αντιγράφων ασφαλείας. Επιπλέον, ρεαλιστικά σενάρια αποκατάστασης από καταστροφές θα πρέπει να προσομοιώνονται ετησίως για να εντοπίζονται πιθανά κενά στο εφεδρικό σχέδιο.
Εφαρμόζοντας αυτούς τους ελέγχους, οι επιχειρήσεις μπορούν να προστατεύουν καλύτερα τα περιουσιακά στοιχεία δεδομένων τους, να συμμορφώνονται με αυστηρούς κανονισμούς και να διασφαλίζουν λειτουργική ανθεκτικότητα έναντι των αυξανόμενων απειλών στον κυβερνοχώρο. Σε τελική ανάλυση, η επίτευξη πραγματικής ασφάλειας δεδομένων σημαίνει ότι δεν εμπιστεύεσαι κανέναν ενώ εφαρμόζεις αυστηρούς και ασυμβίβαστους εσωτερικούς ελέγχους.
Παραθέτουμε την καλύτερη υπηρεσία βελτιστοποίησης cloud.
Αυτό το άρθρο δημιουργήθηκε ως μέρος του καναλιού Expert Insights της TechRadarPro, όπου παρουσιάζουμε τα καλύτερα και πιο έξυπνα μυαλά στον κλάδο της
τεχνολογία
ς σήμερα. Οι απόψεις που εκφράζονται εδώ είναι αυτές του συγγραφέα και δεν είναι απαραίτητα αυτές της TechRadarPro ή της Future plc. Αν ενδιαφέρεστε να συνεισφέρετε, μάθετε περισσότερα εδώ:
https://www.techradar.com/news/submit-your-story-to-techradar-pro
VIA:
TechRadar.com/
0