8
Lorsque les accords de niveau de service des fournisseurs de cloud (SLAS) ne correspondent pas tout à fait à la sécurité de Yoru Enterprise et disponibilité Les besoins, les chefs de la sécurité des données (CISO) sont confrontés à un défi commun, mais persistant.
Cet écart assez souvent négligé entre ce que les fournisseurs de cloud offrent et ce dont les entreprises ont besoin peuvent créer des risques extrêmement importants.
- De nombreuses organisations découvrent que le SLA de leur fournisseur de cloud ne redevient pas les besoins de sécurité et de disponibilité des entreprises.
- Les fournisseurs spécialisés, en particulier en IA / ML, peuvent offrir de l’innovation mais des garanties de sécurité limitées ou des engagements de disponibilité.
- Une approche stratégique impliquant l’évaluation des risques et les contrôles de compensation est crucial pour gérer SLA Gaps.
- L’intégration de l’analyse du SLA dans la gestion des risques des fournisseurs et le maintien d’une documentation claire sont essentielles pour la conformité réglementaire.
Le paysage cloud est vaste, avec des milliers de fournisseurs spécialisés aux côtés des principaux acteurs comme Amazon Web Services, Microsoft Azure et Google Cloud. Bien que les Giants aient des offres de sécurité robustes, de nombreux fournisseurs plus petits ou spécialisés peuvent avoir des SLA qui reflètent leur échelle ou leur orientation, et non les demandes de sécurité de qualité d’entreprise.
Cela peut conduire à plusieurs scénarios:
Le paradoxe de l’innovation: Une plate-forme d’IA de pointe pourrait offrir des capacités révolutionnaires, mais promettez uniquement la disponibilité de 99,5%, tandis que votre entreprise a besoin de 99,99% de disponibilité.
L’écart de conformité: Un outil SAAS crucial pourrait avoir des pratiques de résidence de données, de chiffrement ou d’audit qui ne répondent pas aux exigences réglementaires strictes.
L’acquisition de l’échelle: Un fournisseur de logiciels de niche peut avoir des outils de l’industrie uniques, mais leur réponse aux incidents ou leur surveillance de la sécurité pourrait ne pas s’aligner sur les normes d’entreprise.
Un cadre stratégique pour gérer les lacunes en SLA
Au lieu de rejeter carrément les fournisseurs de SLA moins que parfaits, les Cisos avant-gardistes construisent des approches structurées pour évaluer et atténuer ces écarts. Voici une stratégie pratique:
1. Évaluation SLA basée sur le risque
Allez au-delà du document SLA lui-même. Effectuer une évaluation approfondie des risques, évaluant le fournisseur sur plusieurs fronts:
- Évaluation de la posture de sécurité: Demander une documentation détaillée de sécurité, des certifications et des examens architecturaux. De nombreux prestataires ont des pratiques internes plus fortes que leurs SLA publics ne le suggèrent, en particulier les plus petits.
- Analyse de l’impact commercial: Quantifier les conséquences potentielles d’un déficit SLA. Une disponibilité de 99,5% pourrait être bien pour un outil d’analyse interne, mais désastreuse pour une application orientée client.
- Cartographie réglementaire: Identifier les réglementations spécifiques à risque et évaluer les sanctions potentielles de non-conformité.
2.COMPENSSANT la stratégie des contrôles
Lorsque des écarts de SLA existent, les commandes de compensation peuvent combler la différence:
- Architectures multiprovider: Concevoir pour la redondance entre plusieurs fournisseurs de cloud pour dépasser le SLA d’un seul fournisseur. Ceci est vital pour les applications critiques sensibles aux points de défaillance uniques.
- Surveillance et alerte améliorées: Mettez en œuvre votre propre surveillance complète pour la détection des problèmes antérieurs que les alertes standard du fournisseur.
- Couches de protection des données: Ajouter des mesures indépendantes de cryptage, de sauvegarde et de prévention de la perte de données qui fonctionnent séparément des
technologies transformatrices. Au lieu de cela, les CISO avisés créent des cadres pour des décisions de risque éclairées, permettant l’innovation tout en conservant des contrôles essentiels.
Une approche structurée permet aux organisations d’adopter des services cloud innovants tout en garantissant une solide sécurité et une conformité réglementaire. La clé est d’aller au-delà des simples décisions d’acceptation / rejet de la gestion des risques élégants qui soutient les objectifs commerciaux et les gardes contre les menaces authentiques.
Au fur et à mesure que l’écosystème du cloud évolue, offrant des nouvelles capacités convaincantes ainsi que des garanties de sécurité variables, les organisations avec une gestion des écarts SLA mature seront les mieux placés pour capitaliser sur l’innovation tout en respectant des normes de gestion des risques robustes.
N’oubliez pas que chaque choix de technologie implique des compromis pour les risques. La vraie question n’est pas de savoir s’il faut accepter le risque, mais comment le gérer intelligemment pour atteindre les objectifs commerciaux.