L’Outil Surpuissant pour Exploser ton Chiffre d'Affaires en 2024 !
La sécurité en nuage augmente: comment renforcer le contrôle
Les entreprises investissent dans une infrastructure de cloud computing pour des raisons connues et bien établies, notamment évolutivité améliorée des données, disponibilité accrue des ressources, formation des utilisateurs, facilité d'utilisation, continuité des activités et réduction des coûts informatiques.
Les failles de sécurité dans le cloud augmentent
Alors que les entreprises du monde entier continuent d'investir dans les ressources cloud, les incidents de sécurité liés au cloud et les violations continuent d'augmenter. Entre le milieu de 2017 et le milieu de 2018, 18% des organisations interrogées ont connu au moins un incident de sécurité dans le cloud . Ce chiffre est le double du nombre déclaré au cours des 12 mois allant du milieu de 2016 au milieu de 2017, selon le dernier rapport publié par Cybersecurity Insiders .
Parallèlement à la multiplication des incidents , les inquiétudes sur la sécurité du cloud augmentent. Selon le rapport de Cybersecurity Insiders, 91% des professionnels de la sécurité interrogés ont admis qu'ils s'inquiétaient de leur capacité à détecter et à prévenir les violations dans leurs environnements cloud. Cela représente une augmentation de 10% par rapport au sondage de l’année précédente, où 81% des professionnels de la cybersécurité ont exprimé leurs préoccupations, renversant ainsi une tendance à la baisse au cours des quatre années précédentes.
' 2018 Rapport de sécurité Cloud . Ce rapport est basé sur une enquête annuelle en ligne exhaustive menée auprès de 570 professionnels de la cybersécurité, notamment des RSSI, des analystes de la sécurité et des responsables informatiques. Comme le montre le dernier rapport, les craintes concernant la sécurité qui ont empêché l’adoption de cloud dans le passé sont toujours d'actualité.
Les défis de sécurité ne manquent pas
Les entreprises sont confrontées à des problèmes d'infrastructure cloud. Ressources. Entre autres considérations, les entreprises ont appris que leurs outils de sécurité hérités avaient des capacités limitées dans le cloud. Le cryptage des données au repos (parmi 64% des répondants) et des données en mouvement (pour 54%) figure en tête de liste des technologies de sécurité en nuage les plus couramment utilisées, suivies par les plates-formes SIEM (Security Information and Event Management). (à 52%).
Seulement 16% des entreprises interrogées pensent que les outils de protection des données traditionnels peuvent gérer la sécurité sur leur plateforme cloud (soit une baisse de 6% par rapport à l'enquête de 2017). La plupart des professionnels de la sécurité (84%) affirment que les solutions existantes ne fonctionnent pas dans les environnements de cloud ou ne proposent que des fonctionnalités limitées.
Selon ces organisations, le principal problème de sécurité est la visibilité sur la sécurité de l'infrastructure (43% des répondants) "Et" compliance "(selon 38%). Les entreprises interrogées éprouvent des difficultés à mettre en place des politiques de sécurité cohérentes sur les environnements cloud et sur site (au moins 35% de problèmes) et craignent que la sécurité du cloud semble être à l’origine du changement des applications (35%)
les répondants ont déclaré que "la mauvaise configuration des plates-formes cloud" constituait une menace majeure pour la sécurité cloud (62% des personnes interrogées), suivie des "accès non autorisés" dus à l'utilisation abusive des identifiants des employés et à un contrôle d'accès incorrect (55%). / API (à 50%). Cinquante pour cent des personnes interrogées déclarent utiliser les outils de sécurité de leur fournisseur de cloud et 35% déploient des logiciels de sécurité tiers pour garantir la mise en place de contrôles de sécurité cloud.
comme suit:
- Protection contre la perte de données et les fuites-67%
- Menaces pour la confidentialité des données-61%
- Infractions à la confidentialité-53%
Un nouvel espoir
le rapport de sécurité de Cloud 2018 a révélé des indicateurs positifs concernant l'éducation à la sécurité. Pour une deuxième année consécutive, «la formation et la certification du personnel informatique existant» est la méthode la plus utilisée (parmi 56% des répondants) pour répondre aux besoins croissants de sécurité. Alors que les changements technologiques et les menaces évoluent dans le cloud, la mise à jour des compétences internes est essentielle.
Les entreprises interrogées comprennent également que des investissements continus dans la sécurité sont nécessaires car près de la moitié d'entre eux (49%) un avenir prévisible. L'augmentation médiane attendue du budget de sécurité est de 22% (en glissement annuel).
D'après les résultats globaux de l'enquête de cette année, alors que les investissements dans le cloud continuent de croître, davantage d'efforts doivent être déployés pour minimiser les menaces et assurer la sécurité globale de l'informatique en nuage.
Normes de sécurité de nuage
Ceci est possible avec un cadre de conformité de sécurité basé sur plusieurs normes internationales, dont:
Le système de gestion de la qualité ISO / IEC 9001 est une norme fondée sur plusieurs principes de gestion de la qualité, notamment la motivation et l'implication de la direction approche fondée sur l'amélioration continue.
Le système de gestion de la sécurité ISO / IEC 27001 est une norme mondiale bien connue de la famille ISO qui fournit une application holistique basée sur les risques. la sécurité et un ensemble complet et mesurable de pratiques de gestion de la sécurité de l'information.
Le système de gestion de la continuité des activités ISO / IEC 22301 est la norme internationale de opérations provenant de perturbations potentielles telles que conditions météorologiques extrêmes, incendie, inondation, catastrophes naturelles, vols, pannes informatiques, maladies du personnel et attaques terroristes.
Le système de gestion des informations personnelles BS 10012 couvre des domaines tels que formation à la sécurité des employés, évaluation des risques, conservation et élimination des données, et établissement de politiques et de procédures permettant la gestion efficace des renseignements personnels des particuliers.
La norme ISO / IEC 20000 est une norme. fournir des conseils de qualité mesurables pour le cadre de meilleures pratiques ITIL (IT Infrastructure Library) et des éléments provenant d'autres cadres tels que Co ntrol Objectifs pour les technologies de l'information et les technologies connexes
Rapports de contrôle de l'organisation des services
Les rapports de contrôle de l'organisation des services garantissent la conception et l'efficacité opérationnelle des systèmes de contrôle Les rapports du SOC comprennent des normes de vérification indépendantes de l'industrie.
Rapports SOC 1 : Le rapport SOC 1 suit les SSAE 16 et ISAE 3402 Normes sur les missions d'audit et comprend une description détaillée de la conception (type I / type II) et de l'efficacité (type II) des contrôles audités.
SOC 2 Reports : Le rapport SOC 2 suit les normes de vérification de ISAE 3000 et AT 101 et est fondé sur les principes du service de confiance de AICPA . Le rapport comprend une description détaillée de la conception (type I / type II) et de l’efficacité (type II) des contrôles audités.
Rapports SOC 3 : Le rapport SOC 3 est un court -form record qui fournit une description des tests et des résultats des contrôles et résume les résultats des audits SOC 2 respectifs.
En savoir plus
Cet article a été publié sur le blog SAP Analytics. permission
Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube
<! – Commentaires ->
Source link