在数据泄露时代确保云供应商的安全透明度
Gartner最近发布了提高云软件即服务(SaaS)合同透明度的建议,包括强调年度安全审计和第三方认证,以验证云供应商的运营/产品安全性。
Gartner还建议,如果供应商未能采取任何实质性措施,则合同允许在发生安全漏洞时终止协议的选项。Gartner的报告《云合同需要安全服务级别以更好地管理风险》显示,在未来两年内,80%的IT采购专业人士仍将对与安全相关的SaaS合同语言和保护不满意。
Gartner副总裁兼分析师Alexa Bona表示:“我们继续看到云服务用户对他们能够从潜在和当前服务提供商那里获得的透明度的形式和程度感到沮丧。”
那么,您如何才能对您的云服务提供商提供持续安全服务的能力保持完全透明呢?以下内容与可能向其他软件即服务(SaaS)提供商提供服务的云基础设施即服务(IaaS)提供商相关:
检查合规审计报告。至少每年应由独立的第三方审计员进行一次的安全审计清单很长——这取决于您正在寻找什么以及您所处的行业。随身携带这份数据中心审计备忘单访问您的数据中心。
访问实际的数据中心。验证您的云服务提供商拥有并运营他们的设施,然后安排参观以检查他们的物理和技术安全性。与他们的员工交谈,确保他们接受过处理敏感数据的培训,以及他们关于访问的政策。
将行业合规性要求与其产品进行比较。了解谁对什么负责可以消除整体安全方面的任何漏洞,并弄清楚他们提供什么和不提供什么,还可以让您深入了解他们的服务范围。
了解他们的违规通知政策是什么。如果他们发现违规行为,询问该条款是否包括标准通知政策,以及事件发生后涉及的程序。让您的团队参与管理他们的终端并确保识别联系人。
投资于第三方风险工具。正确的软件工具可以帮助减轻第三方甚至第四方的数据泄露。
获得云提供商环境的透明度可能需要您的组织进行更多的前期工作,但最终可能是值得的——Ponemon Institute在2013年数据泄露成本研究中透露,数据泄露的成本在全球范围内上升:全球分析(PDF)。
图片使用申明:原创文章图片源自‘Canva可画’平台免费版权图片素材;引用文章源自引用平台文章中所使用的原图。