Παρόλο που οι οργανισμοί σε πολλούς τομείς έχουν επιταχύνει την υιοθέτηση περιβαλλόντων cloud, τα χρηματοπιστωτικά ιδρύματα (FIs) ήταν μάλλον απρόθυμα να μεταφέρουν τις υπηρεσίες τους στο cloud.
Η επεξεργασία βασικών συναλλαγών και άλλες κρίσιμες για την αποστολή εργασίες εξακολουθούν να εκτελούνται σε παλαιού τύπου συστήματα εσωτερικής εγκατάστασης.
Ωστόσο, οι αλλαγές που επέφερε η πανδημία στα επιχειρηματικά μοντέλα και την αλληλεπίδραση με τους πελάτες έχουν καταστεί δυνατό για την ταχύτερη υιοθέτηση των πλατφορμών δημόσιου cloud από τράπεζες και άλλα χρηματοπιστωτικά ιδρύματα.
Η Νομισματική Αρχή της Σιγκαπούρης (MAS) είχε εκδώσει προηγουμένως μια συμβουλευτική επισήμανση ορισμένων βασικών κινδύνων και μέτρων ελέγχου που θα πρέπει να λάβουν υπόψη τα χρηματοπιστωτικά ιδρύματα πριν υιοθετήσουν τις δημόσιες υπηρεσίες cloud τον Ιούνιο του 2021.
Αν και η συμβουλευτική δεν καθορίζει νομικές υποχρεώσεις από μόνη της, η MAS προσφέρει συγκεκριμένες οδηγίες για τη διαχείριση κινδύνων που σχετίζονται με το cloud.
Η Thales εξέτασε τη συμβουλή της MAS για την αντιμετώπιση των κινδύνων τεχνολογίας και ασφάλειας στον κυβερνοχώρο που σχετίζονται με την υιοθέτηση του δημόσιου cloud σε μια e-book.
Ζυγίζοντας τα οφέλη και τους κινδύνους της υιοθέτησης του cloud
- Τα πλεονεκτήματα και τα μειονεκτήματα του cloud δεν είναι μοναδικά για τις τράπεζες.
- Καλύτερη ευελιξία, επεκτασιμότητα και ελαστικότητα.
- Δυνατότητα για τις χρηματοπιστωτικές εταιρείες να αναπτύσσουν πιο αποτελεσματικές διαδικασίες ή εφαρμογές έντασης δεδομένων.
- Γρήγοροι χρόνοι διεκπεραίωσης συναλλαγών για τον καταναλωτή ή ταχύτερες και πιο προσαρμοσμένες επιλογές εξυπηρέτησης πελατών.
Παρά τα οφέλη, το cloud εισάγει κινδύνους κυβερνοασφάλειας που δεν υπήρχαν στα παλαιού τύπου συστήματα. Για παράδειγμα, η συμβουλευτική σημειώνει ότι πολλά περιστατικά ασφάλειας δημόσιου νέφους, όπως διαρροές δεδομένων, προκλήθηκαν από κακή διαχείριση από την πλευρά του χρήστη (π.χ. κακός έλεγχος της πρόσβασης στο cloud του παρόχου υπηρεσιών).
Η ασφάλεια του cloud έναντι της πιο παραδοσιακής υποδομής, όπως τα κέντρα δεδομένων εσωτερικού χώρου, είναι πιο περίπλοκη και απαιτεί από τα χρηματοπιστωτικά ιδρύματα να ενεργούν προληπτικά και να έχουν μια νοοτροπία σχεδιασμού προς ασφάλεια.
Η Νομισματική Αρχή της Σιγκαπούρης προσφέρει συμβουλές για την ασφάλεια του cloud
Σε απάντηση αυτών των προκλήσεων, το Η Νομισματική Αρχή της Σιγκαπούρης (MAS) εξέδωσε γνωμοδότηση να παράσχει στα χρηματοπιστωτικά ιδρύματα στη Σιγκαπούρη έγκυρες συμβουλές για τη διαχείριση και τον μετριασμό των κινδύνων για την ασφάλεια στον κυβερνοχώρο από την υιοθέτηση του δημόσιου cloud.
Η συμβουλευτική υπογραμμίζει τους ακόλουθους τομείς προσοχής για τα χρηματοπιστωτικά ιδρύματα:
- Πραγματοποιήστε μια ολοκληρωμένη αξιολόγηση κινδύνου καθώς σχεδιάζουν την υιοθέτηση του δημόσιου cloud και διαχειρίζονται κατάλληλα τους κινδύνους που έχουν εντοπιστεί.
- Αναπτύξτε μια στρατηγική διαχείρισης κινδύνου δημόσιου νέφους που λαμβάνει υπόψη τα μοναδικά χαρακτηριστικά των δημόσιων υπηρεσιών cloud.
- Εφαρμογή ισχυρών ελέγχων κυβερνοασφάλειας σε τομείς όπως η Διαχείριση Ταυτότητας και Πρόσβασης (IAM), η προστασία δεδομένων και η διαχείριση κρυπτογραφικών κλειδιών.
- Βεβαιωθείτε ότι το προσωπικό διαθέτει επαρκείς δεξιότητες για τη διαχείριση του φόρτου εργασίας και των κινδύνων στο δημόσιο cloud.
Τα FI πρέπει να διπλασιάσουν τη διαχείριση ταυτότητας και πρόσβασης
Η Διαχείριση Ταυτότητας και Πρόσβασης (IAM) είναι ο ακρογωνιαίος λίθος της αποτελεσματικής διαχείρισης κινδύνου ασφάλειας cloud.
Η συμβουλευτική υπηρεσία Cloud MAS σημειώνει στο Σημείο 10 ότι τα χρηματοπιστωτικά ιδρύματα θα πρέπει να επιβάλλουν αυστηρά την αρχή του «λιγότερου προνομίου» όταν παρέχουν πρόσβαση σε στοιχεία ενεργητικού πληροφοριών στο δημόσιο νέφος.
Η στρατηγική IAM θα πρέπει να επικεντρωθεί στα ακόλουθα:
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) (Στοιχείο 11).
- Αλλάζετε τακτικά τα διαπιστευτήρια για έλεγχο ταυτότητας στο δημόσιο νέφος, όπως "κλειδιά πρόσβασης" (Στοιχείο 12).
- Διαχειριστείτε κεντρικά τις πολιτικές IAM για πρόσβαση σε πολλές δημόσιες υπηρεσίες cloud και διασφαλίστε ότι οι πολιτικές επιβάλλονται με συνέπεια (Στοιχείο 14).
Τα μέτρα ασφάλειας δεδομένων πρέπει να ενισχυθούν
Το σημείο 21 του Συμβουλευτικού Συμβουλίου για το Cloud MAS απαιτεί από τα χρηματοπιστωτικά ιδρύματα να εφαρμόζουν κατάλληλα μέτρα ασφάλειας δεδομένων για την προστασία της εμπιστευτικότητας και της ακεραιότητας των ευαίσθητων δεδομένων στο δημόσιο νέφος, λαμβάνοντας υπόψη τα δεδομένα σε κατάσταση ηρεμίας, τα δεδομένα σε κίνηση, όπου ισχύει.
- Για δεδομένα σε κατάσταση ηρεμίας, τα χρηματοπιστωτικά ιδρύματα θα πρέπει να κάνουν tokenization εκτός από την κρυπτογράφηση που παρέχεται σε επίπεδο πλατφόρμας.
- Για δεδομένα σε κίνηση, συνιστάται στους χρηματοπιστωτικούς οργανισμούς να εφαρμόζουν κρυπτογράφηση συνεδρίας εκτός από την κρυπτογράφηση που παρέχεται σε επίπεδο πλατφόρμας.
Εκτός από την προστασία που προσφέρει η κρυπτογράφηση δεδομένων, τα χρηματοπιστωτικά ιδρύματα θα πρέπει να υιοθετούν στρατηγικές διαχείρισης κρυπτογραφικών κλειδιών για να επιτρέπουν ένα ισχυρό και συνεπές επίπεδο ελέγχου και προστασίας των κρυπτογραφικών κλειδιών τους και να αποφεύγουν τον συμβιβασμό αυτών των κλειδιών.
Η συμβουλευτική προτείνει δύο επιλογές:
- Φέρτε το δικό σας κλειδί (BYOK) για να διατηρήσετε τον έλεγχο και τη διαχείριση των κρυπτογραφικών κλειδιών που θα μεταφορτώνονταν στο cloud για την εκτέλεση κρυπτογράφησης δεδομένων.
- Φέρτε τη δική σας κρυπτογράφηση (BYOE) όπου τα δεδομένα κρυπτογραφούνται πριν εισέλθουν στο cloud και τα κλειδιά δεν μεταφέρονται στο cloud.
Πηγή: A Review of the Monetary Authority of Singapore (MAS) Advisory on Addressing the Technology and Cyber Security Risks Associated with Public Cloud Adoption e-book
Αποφύγετε τους κινδύνους κλειδώματος πωλητών
Για να διασφαλιστεί μια ισχυρή στάση ασφάλειας στο cloud, οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα θα πρέπει να θεσπίσουν και να επιβάλουν ισχυρούς ελέγχους ασφάλειας cloud.
Ενώ οι πάροχοι υπηρεσιών cloud προσφέρουν εγγενείς λύσεις ασφάλειας, η συμβουλευτική σημειώνει στο Στοιχείο 34 ότι «[τα χρηματοπιστωτικά ιδρύματα] θα πρέπει να θεσπίσουν μια διαδικασία αξιολόγησης της έκθεσής τους σε [παρόχους υπηρεσιών cloud] κίνδυνο κλειδώματος και συγκέντρωσης».
Το μοντέλο κοινής ευθύνης της ασφάλειας cloud δίνει στα ιδρύματα την ελευθερία να επιλέγουν τους ελέγχους ασφαλείας της προτίμησής τους που ενσωματώνονται στην υποδομή τους και αντιμετωπίζουν τις επιχειρηματικές τους ανάγκες με τον πιο αποτελεσματικό τρόπο.
Η επιλογή μιας ουδέτερης λύσης ασφάλειας cloud παρουσιάζει πολλά πλεονεκτήματα για τα χρηματοπιστωτικά ιδρύματα, όπως τον έλεγχο του δικού σας συστήματος κανονιστικής συμμόρφωσης και τη δική σας στάση ασφάλειας στο cloud.
Πώς βοηθάει ο Thales
Η διαχείριση των κινδύνων για την ασφάλεια του cloud απαιτεί εξατομικευμένες λύσεις. Τα κορυφαία στον κλάδο προϊόντα της Thales επιτρέπουν στις επιχειρήσεις να διαχειρίζονται κεντρικά και να ασφαλίζουν την πρόσβαση σε εφαρμογές, καθώς και να προστατεύουν και να διατηρούν τον έλεγχο των δεδομένων τους — τόσο εντός όσο και εκτός cloud.
Κατεβάστε το ηλεκτρονικό βιβλίο της Thales που εξετάζει τη συμβουλή της MAS σχετικά με την αντιμετώπιση των κινδύνων τεχνολογίας και ασφάλειας στον κυβερνοχώρο που σχετίζονται με την υιοθέτηση του δημόσιου cloud εδώ.
Προτεινόμενη πίστωση εικόνας: Τεχνολογική φωτογραφία που δημιουργήθηκε από rawpixel.com - www.freepik.com
- "
- &
- 11
- 2021
- πρόσβαση
- Διαχείριση Πρόσβασης
- Υιοθεσία
- συμβουλές
- συμβουλευτικός
- εφαρμογές
- Ενεργητικό
- Πιστοποίηση
- εξουσία
- Τράπεζες
- επιχείρηση
- προκαλούνται
- αλλαγή
- Backup
- υιοθέτηση νέφους
- Ασφάλεια Cloud
- υπηρεσίες cloud
- Εταιρείες
- Συμμόρφωση
- συγκέντρωση
- καταναλωτής
- Διαπιστεύσεις
- μονάδες
- Εξυπηρέτηση πελατών
- στον κυβερνοχώρο
- κυβερνασφάλεια
- Κυβερνασφάλεια
- ημερομηνία
- κέντρα δεδομένων
- την προστασία των δεδομένων
- την ασφάλεια των δεδομένων
- Αποτελεσματικός
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- κρυπτογράφηση
- Εισέρχεται
- οικονομικός
- Χρηματοπιστωτικά ιδρύματα
- FIS
- Συγκέντρωση
- Ελευθερία
- καθοδηγήσει
- HTTPS
- IAM
- Ταυτότητα
- διαχείριση ταυτότητας και πρόσβασης
- Διαχείριση ταυτότητας και πρόσβασης (IAM)
- εικόνα
- πληροφορίες
- Υποδομή
- ιδρυμάτων
- αλληλεπίδραση
- IT
- Κλειδί
- πλήκτρα
- Διαρροές
- Νομικά
- Επίπεδο
- διαχείριση
- ΜΑΣ
- ΣΠΙ
- μοντέλο
- επαλήθευση πολλών παραγόντων
- προσφορά
- προσφορές
- Επιλογές
- Οργανισμοί
- ΑΛΛΑ
- πανδημία
- πλατφόρμες
- Πλατφόρμες
- Πολιτικές
- φτωχός
- παρόν
- Προϊόντα
- προστασία
- προστασία
- δημόσιο
- Δημόσιο σύννεφο
- Κανονιστική Συμμόρφωση
- απάντησης
- ανασκόπηση
- Κίνδυνος
- εκτίμηση του κινδύνου
- διαχείριση των κινδύνων
- τρέξιμο
- Απεριόριστες δυνατότητες
- Τομείς
- ασφάλεια
- Υπηρεσίες
- σειρά
- Shared
- Singapore
- Λύσεις
- Στρατηγική
- συστήματα
- Τεχνολογία
- Τεκμηρίωση
- συναλλαγή
- Εναντίον
