الامتثال للخصوصية والأمان في التحكم في الوصول إلى السحابة

يجلب الانتقال من السحابة العامة إلى اعتماد التحكم في الوصول كخدمة (ACaaS) عبر السحابة العامة مجموعة من الشكوك والمثبطات الخاصة به بين المؤسسات.
يعد الامتثال الأمني أحد العوامل الحيوية عندما يتعلق الأمر باتخاذ هذا القرار.
تتوقع معظم المؤسسات المخاطر على فوائد ACaaS.
تبحث هذه المدونة في جميع المخاوف الرئيسية للمؤسسة ومختلف الامتثال العالمي الذي يساعد على تخفيف هذه المخاوف. ما هي الاهتمامات الأساسية للمؤسسة قبل التحول إلى ACaaS؟

1. أمن البيانات والخصوصية – يوجد تهديد متكرر لخرق البيانات على السحابة.
   قد يتم الوصول إلى بيانات العميل الحساسة وتوزيعها للاستخدام غير الأخلاقي من قبل مزود الخدمة نفسه.
2. اختطاف خصوصية الحساب – قد يحصل المهاجمون على إمكانية الوصول عن بُعد إلى بيانات اعتماد المستخدم لاختطاف المعلومات الحساسة المخزنة على السحابة والتحكم في خدمات التحكم في الوصول.
   ومن بين أكثر التهديدات شيوعًا في هذه الفئة أساليب مثل تجاوز سعة المخزن المؤقت والتصيد الاحتيالي وتسجيل لوحة المفاتيح وأخطاء البرمجة النصية وإعادة استخدام كلمات المرور وهجوم الرجل في السحابة.
3. لا تزال واجهات برمجة التطبيقات غير آمنة – على الرغم من أن واجهات برمجة التطبيقات تساعد الشركات والمبرمجين على التفاعل مع البرامج وفقًا لمتطلبات المؤسسة، إلا أنها قد تعرض الأمن للخطر.
4. الأمان المتعلق بالأجهزة – ACaaS هو في الأساس نظام إنترنت الأشياء.
   في الأجهزة مثل وحدات التحكم التي تتواصل باستمرار مع الخدمات السحابية وبروتوكولات الاتصال والأمان الداخلي المتعلق بالأجهزة يشكل مصدر قلق كبير.
5. حقن البرمجيات الخبيثة – يمكن للقراصنة حقن أكواد خبيثة في البرمجيات المستندة إلى السحابة، والتي تبدو صالحة في الخدمات السحابية ولكن يمكن استخدامها للتنصت وسرقة البيانات.
6. هجمات الحرمان من الخدمة – على النقيض من الهجمات الإلكترونية الأخرى، فإن الاختراق الأمني الذي يحدث في إطار “هجوم الحرمان من الخدمة” يجعل الخوادم والموقع الإلكتروني غير متاح للمستخدمين المصرح لهم.
7. فقدان البيانات – هناك دائمًا احتمالات لفقدان البيانات على السحابة بسبب ظروف غير متوقعة مثل الكوارث الطبيعية أو الهجمات غير الأخلاقية أو محو البيانات من قبل مزودي الخدمة، مما يؤدي إلى انتكاسة كبيرة في الأعمال التجارية للمؤسسة.
8. التهديدات من الداخل – قد يستخدم الموظفون المصرح لهم حقهم في الوصول إلى المعلومات الحساسة للمؤسسة التي يمكن الوصول إليها على السحابة من أي مكان، مما يخلق إمكانية أكبر لإساءة استخدام البيانات مقارنةً بالأنظمة التقليدية داخل المؤسسة.

ما هي الامتثالات الأمنية المختلفة المتاحة لجعل هذه التحديات غير فعالة؟ وللتصدي لهذه التحديات، ترجع المؤسسات إلى مجموعة من قوانين الامتثال العديدة التي تضمن مصداقية مقدمي الخدمات وتزيل جميع احتمالات مواجهة أي من هذه التحديات المحتملة.
دعونا نلقي نظرة على بعض هذه الامتثال ومقترحات الأمان. ما هو ISO-27001؟ ISO-27001 – هو معيار دولي لأمن المعلومات يوفر مواصفات لتنفيذ وصيانة وتحسين نظام إدارة أمن المعلومات (ISMS) الخاص بالمؤسسة ¹.
تشمل جميع الضوابط الفنية والمادية والقانونية المطلوبة لعمليات إدارة مخاطر تكنولوجيا المعلومات الخاصة بها نظام إدارة أمن المعلومات.
يمكّن المعيار المنظمة من معالجة أي مخاطر أمنية وحماية البيانات وتحديد نطاق وحدود ^{برامجها} الأمنية1.
وهو يغطي غالبية التحديات التقنية الموضحة في هذه المدونة. ما هي اللائحة العامة لحماية البيانات (GDPR)؟ اللائحة العامة لحماية البيانات (GDPR) – يركز معيار الامتثال هذا على تعزيز حماية البيانات في المؤسسة.
وينطبق على أعضاء الاتحاد الأوروبي، ويتضمن قواعد حول حماية البيانات والتعامل معها بموافقة المستخدم، وهو صالح لمنطقة الاتحاد الأوروبي. هل الامتثال لمعيار ISO-27001 كافٍ لتلبية جميع مخاوف الخصوصية والأمان؟ على الرغم من أن معيار ISO-27001 يقدم أفضل الممارسات لضمان أمن المعلومات، إلا أنه غير متخصص في خصوصية البيانات.
إن خبرة اللائحة العامة لحماية البيانات هي التي توفر رؤية استراتيجية للمؤسسات للحفاظ على خصوصية البيانات.
بشكل عام، تشمل بعض القضايا المشمولة في اللائحة العامة لحماية البيانات، على عكس ISO-27001، الموافقة وإمكانية نقل البيانات والنقل الدولي للبيانات ^{الشخصية1}.
يحفز النظام الأوروبي العام لحماية البيانات (GDPR) على تطبيق المواصفة القياسية ISO-27001 للتأكد من أن المؤسسة تتبع أفضل ممارسات حماية البيانات بما يتوافق مع ^{المعايير} الدولية2.
في الختام، تنظم اللائحة العامة لحماية البيانات جمع البيانات الشخصية، بينما تضمن المواصفة القياسية ISO 27001 بقاء البيانات المجمعة ^آمنة2. هل هناك أي امتثال آخر مهم لحماية الخصوصية وأمن المعلومات؟ هناك بعض الامتثالات الأخرى التي تنطبق تحديدًا على المؤسسات التي تتخذ من الولايات المتحدة مقرًا لها أو تلك التي تعمل في الولايات المتحدة.
دعنا نلقي نظرة عليها: SOC 2 – امتثال التدقيق وإعداد التقارير المصمم لمقدمي الخدمات الذين يخزنون بيانات العملاء عبر السحابة.
بمعنى آخر، ينطبق على كل شركة SaaS.
وهو يضمن التزام التدابير الأمنية للشركة بالمعايير الفريدة المصممة وفقًا لمتطلبات السحابة.
تتبع معظم مؤسسات الخدمات التي تتخذ من الولايات المتحدة مقراً لها هذا الامتثال. البرنامج الفيدرالي لإدارة المخاطر والتصاريح (FedRAMP): وهو برنامج على مستوى الحكومة الأمريكية يوفر نهجًا موحدًا للتقييم الأمني والترخيص والمراقبة المستمرة للمنتجات والخدمات السحابية. معيار معالجة المعلومات الفيدرالي (FIPS) 140-2 – وهو معيار أمني يحدد متطلبات وحدات التشفير، بما في ذلك الأجهزة والبرمجيات والبرامج الثابتة للوكالات الفيدرالية الأمريكية. NIST 800-171 – وهو يحمي المعلومات غير السرية الخاضعة للرقابة (CUI)، أي أنه يحدد مجموعة معايير توزيع البيانات الحساسة غير السرية وحمايتها. مقترحات الأمان لإضفاء الطابع الرسمي على بيئة أكثر أمانًا وأفضل لخدمات ACaaS السحابية، يجب على مزود الخدمة توطين تخزين البيانات والخدمات.
ويعني ذلك أيضًا أن القوانين الإلكترونية لبلد معين تنطبق على مزود الخدمة، مما يضمن الالتزام بها بشكل لا يمكن انتهاكه.
إذا لم يكن التوطين ممكناً، يجب على مزود الخدمة استضافة المثيل في البلدان التي توفر بنية تحتية سحابية أكثر أماناً.
وفقًا لإحدى الدراسات، فإن بعض الدول التي تحتل المرتبة الأولى في توفير بيئة سحابية آمنة هي اليابان وأستراليا والولايات المتحدة وألمانيا وسنغافورة.
والأهم من ذلك، تأكد من أن مزود الخدمة متوافق على الأقل مع معيار ISO-27001 واللائحة العامة لحماية البيانات.

Please follow and like us: