GSECTRA הכריזה על פתיחת קורס ראשון בנושא אבטחת מידע לטכנולוגיות ענן
"אם אתה רוצה את הקשת בענן, אתה צריך לסבול גם את הגשם" (דולי פרטון)
חברת GSECTRA, שותף מוסמך של ה-Cloud Security alliance, הכריזה על פתיחת קורס ראשון בנושא אבטחת מידע לטכנולוגיות ענן שיועבר על ידי משה פרבר, CCSK, בעל ניסיון של למעלה מעשור בטכנולוגיות אבטחת מידע חדשניות. הקורס מיועד לאנשי IT ואבטחת מידע בארגונים המעוניינים להרחיב את הידע שלהם ולשפר את התמודדות הארגון עם נושא מורכב זה. בסיום הקורס יעברו הבוגרים מבחן להסמכת CCSK, המכשיר אותם להתמודדות עם הטכנולוגיות של המחר.
להרשמה ניתן לפנות לכתובת הדוא"ל הבאה או להתקשר למוקד ההרשמה בטלפון 03-6443915. מידע נוסף באתר GSECTRA.
רבות דובר אודות המעבר של ארגונים לתשתיות מחשוב ענן, ועוד רבות דובר על המכשול העיקרי למעבר זה – אבטחת המידע בענן. הדאגה לאבטחת המידע מהווה חסם – בין אם פסיכולוגי ובין אם חסם ממשי לאימוץ הטכנולוגיה. ספקיות הענן ויצרני הטכנולוגיה המודעות היטב לסוגיה זו ועושות רבות כדי להשקיט את החששות של הלקוחות, ניתן לראות זאת גם בניסיונות הספקיות להפוך את אבטחת המידע ליתרון שיווקי כגון ה-Secure Cloud של אורקל או רכישות טכנולוגיות אבטחת המידע של Salesforce. עם זאת, הלקוחות המעוניינים בשקט נפשי צריכים לעשות שימוש במשהו יותר מוחשי מאשר עוד טכנולוגיה או תכונות חדשות. המכשול העיקרי בפני האבטחה בענן הינו היעדר התקינה והסטנדרטיזציה. בעולם שבו הגבולות מטשטשים בין רשת פנימית לחיצונית ובין לקוח לספק הרגולציה הקיימת לא רק שאינה עוזרת אלא לעיתים גם מכשילה.
על כן ברור, כי השלב הבא בבגרות של הענן הינו בניית תקינה המותאמת לנושא הענן והתאמת הרגולציות הקיימות. כיום ישנם מספר יוזמות מתקדמות שמטרתן יצירת סטנדרט עבור אבטחת המידע לסביבות ענן. הראשונה הינה תכנית של הממשל הפדרלי בארה"ב – FedRAMP (ר"ת Federal Risk and Authorization Management Program), אשר מטרתה ליצור סטנדרטיזציה של אבטחת מידע בסביבות ענן עבור הגופים הפדרליים. תקינה זו, אשר נכנסת לפעולה בשבועות הקרובים הוכרזה כמנדטורית עבור כל הגופים הפדרליים אשר יהיו מחויבים לוודא כי ספקיות השירות והטכנולוגיות שבשימוש – עומדות בתקן.
עבודת ה-FedRAMP עשתה שימוש רב בתוצרים שנאספו על ידי גוף נוסף, ה-Cloud Security Alliance. ה-CSA הינו ארגון ללא מטרות רווח אשר הציב לו למטרה לקדם את השימוש ב-Best practices עבור אבטחת מחשוב ענן. התוצר המרכזי של ה-CSA הינו מסמך המנחה כיצד יש להעריך, ליישם ולבקר את נושא אבטחת המידע בסביבות ענן. מסמך זה מהווה בסיס לשתי הסמכות אשר ניתנות על ידי ה-CSA: הראשונה היא הסמכת ה-STAR (ר"ת Security, Trust & Assurance Registry) שמטרתה להסמיך ספקי ענן והשנייה הינה הסמכת ה-CCSK (ר"ת Certificate of Cloud security knowledge) שמטרתה להכשיר אנשי אבטחת מידע לסוגיות המורכבות של אבטחת המידע בענן. במסגרת ההכנה להסמכה נלמדים 14 פרקים (Domains) אשר עוסקים במגוון האספקטים הרלבנטיים החל מאחריות חוזית וסוגיות משפטיות של בעלות על המידע דרך בבניית ארכיטקטורה נכונה ומודל ניהול סיכונים מותאם לענן וכלה בהחלת בקרות מתאימות על העבודה השוטפת.
לסיכום ניתן לומר, כי חדירת התקינה למחשוב ענן אומנם בתחילת דרכה אך העובדה כי התקינה האמריקאית הוכרז כמנדטורית עבור ארגונים ממשלתיים, והביקושים הקיימים להסמכת ה-CCSK באירופה ובארה"ב מעידה כי תהליך אימוץ התקינה יהיה מהיר בהשוואה לטכנולוגיות אחרות. ונוכל לשער כי בקרוב נראה גם ספקיות פתרונות ענן וגם לקוחות מרכזיים עושים שימוש בסטנדרטים שהוכרזו כדי לקבל החלטות מושכלות יותר בנושא המעבר לענן.