Επίλυση των προβλημάτων του αύριο σήμερα: Πώς η Cloud Security Alliance προωθεί τις βέλτιστες πρακτικές στο Cloud Computing

TL; Δρ: Η Cloud Security Alliance (CSA), που ιδρύθηκε το 2008, είναι ένας παγκόσμιος οργανισμός αφιερωμένος στον καθορισμό και την προώθηση βέλτιστων πρακτικών στο cloud computing. Μέσω ερευνητικών έργων, ομάδων εργασίας, εκπαίδευσης, πιστοποίησης και εκδηλώσεων, ο μη κερδοσκοπικός οργανισμός προωθεί μια συνεργατική κοινότητα διαφορετικών μερών που ενδιαφέρονται να διατηρήσουν ένα αξιόπιστο οικοσύστημα cloud. Τώρα, καθώς η CSA επεκτείνει την εμβέλειά της για τη δημιουργία ενός πλαισίου ελέγχου του Διαδικτύου των πραγμάτων, ο οργανισμός στοχεύει να εξυπηρετήσει έναν ακόμη ευρύτερο κύκλο μελών.


Ο Jim Reavis και ο Nils Puhlmann αντιμετώπισαν αντιδράσεις που κυμαίνονται από σκεπτικισμό έως γέλιο όταν σκιαγράφησαν τα σχέδιά τους για το Cloud Security Alliance στο Φόρουμ CISO Association System Information Security 2008 στο Λας Βέγκας.

«Είχαμε εντοπίσει έναν διαταράκτη στη βιομηχανία μας και χρειαζόμασταν να οικοδομήσουμε ένα οικοσύστημα εμπιστοσύνης σε περιβάλλοντα cloud», δήλωσε ο J.R. Santos, EVP of Research στο CSA. “Ακόμα, το 80% του δωματίου γέλασε με την ιδέα και είπε,” Δεν υπάρχει τρόπος να πάμε στο σύννεφο. “”

Με λίγα μόνο άτομα στο πλοίο, γεννήθηκε η CSA.

«Ήταν σαν,« νομίζω ότι πας σε κάτι », είπε ο J.R. “Τότε ξεκίνησαν όλα: Το ίδρυμα ήταν εκεί, αλλά χρειαζόμασταν να αναπτύξουμε βέλτιστες πρακτικές και καθοδήγηση για να αντιμετωπίσουμε αυτό το νέο πράγμα που ονομάζεται σύννεφο.”

J.R. Santos, EVP of Research στο CSA

Ο J.R. Santos, EVP of Research, μας είπε ότι το CSA δημιουργήθηκε για να αναπτύξει πρότυπα ασφάλειας σε περιβάλλοντα cloud.

Μια σειρά διοικητικών συναντήσεων με ηγέτες της βιομηχανίας στις αρχές Δεκεμβρίου 2008 επισημοποίησε την ίδρυση της CSA και ο μη κερδοσκοπικός οργανισμός ξεκίνησε γρήγορα να εργάζεται στο πρώτο της λευκό βιβλίο: Οδηγίες ασφαλείας για τις κρίσιμες περιοχές του Cloud Computing.

Σήμερα, η CSA ολοκλήρωσε την Έκδοση 4 αυτής της θεμελιώδους λευκής βίβλου και έχει επεκτείνει τις προσπάθειές της σε πρόσθετα ερευνητικά έργα, ομάδες εργασίας, ευκαιρίες εκπαίδευσης και κατάρτισης και εκδηλώσεις. Για να ενθαρρύνει τη συμμετοχή από ένα ευρύ φάσμα σχετικών μερών, η CSA εμβαπτίζει επίσης σε νέους τομείς έρευνας, συμπεριλαμβανομένων των IoT και DevSecOps. «Η ασφάλεια του cloud παραμένει η βάση μας, αλλά έχουμε εξελιχθεί και σε σχετικές τεχνολογίες», δήλωσε ο J.R. «Πιστεύουμε ότι το σύννεφο είναι η ραχοκοκαλιά του μέλλοντός μας ως επαγγελματίες ασφαλείας».

Ερευνητικά έργα και ομάδες εργασίας βάσει συναίνεσης

Ο J.R. μας είπε ότι το ουδέτερο ερευνητικό πρόγραμμα της CSA βασίζεται σε παγκόσμια συνεργασία με επαγγελματίες του κλάδου, εκπαιδευτικά ιδρύματα και κυβερνητικές υπηρεσίες.

«Η έρευνά μας είναι μοναδική στο ότι βασίζεται στη συναίνεση και αναπτύχθηκε από την κοινότητά μας για να επιτρέψει στη βιομηχανία μας να λύσει τα προβλήματα του αύριο σήμερα», δήλωσε ο J.R. «Είμαστε υπερήφανοι για τις σχέσεις που έχουμε με οργανισμούς και κυβερνητικές υπηρεσίες: Θέλουμε να είμαστε η κόλλα για να ενώσουμε τα πάντα».

Ο J.R εκτιμά επίσης την ευέλικτη προσέγγιση του μη κερδοσκοπικού οργανισμού για την επίλυση προβλημάτων. Ως ένας μικρός οργανισμός, η CSA είναι σε θέση να περιστρέφεται ανάλογα με τις ανάγκες για την επίτευξη των στόχων της αποτελεσματικά, σε σύγκριση με κυβερνητικούς φορείς ή ορισμένους οργανισμούς ανάπτυξης προτύπων.

«Θέλουμε να είμαστε μέρος της λύσης», δήλωσε ο J.R. “Δεν είμαστε μία από αυτές τις ομάδες που περνούν πέντε ή έξι χρόνια καθισμένοι σε αίθουσες συσκέψεων, διαφωνώντας για το ποιος έχει δίκιο, ποιος κάνει λάθος και ποια χώρα εκπροσωπούν.”

Οι εταιρικές συνεργασίες του μη κερδοσκοπικού οργανισμού διασφαλίζουν ότι η CSA δεν σπαταλά χρόνο να αντιγράφει το έργο άλλων. Από τότε που ο J.R. πήρε το τιμόνι στο ερευνητικό σκέλος του CSA, η ομάδα έχει παράγει πάνω από 300 μοναδικά ερευνητικά αντικείμενα που είναι τώρα διαθέσιμα δωρεάν στην κοινότητα του CSA. «Δεν θέλουμε να ανακαλύψουμε ξανά τον τροχό», δήλωσε ο J.R. “Για μένα, είναι χρήσιμο να επικεντρωθούμε σε περιοχές που δεν αντιμετωπίζονται.”

Ο J.R. δήλωσε ότι η CSA διαθέτει επίσης περισσότερες από 30 ενεργές ομάδες εργασίας που ερευνούν συγκεκριμένες πρωτοβουλίες σε τομείς που κυμαίνονται από μεγάλα δεδομένα και το Διαδίκτυο των πραγμάτων (IoT) έως συμφωνίες σε επίπεδο απορρήτου και καθοδήγηση ασφάλειας. Οι περισσότερες ομάδες είναι ανοιχτές σε δημόσια συμμετοχή.

Δημιουργήστε δεξιότητες μέσω εκπαιδευτικών πόρων και ευκαιριών κατάρτισης

Δεν είναι μυστικό ότι η βιομηχανία ασφάλειας cloud εξελίσσεται συνεχώς – και οι επαγγελματίες χρειάζονται πρόσβαση στα εργαλεία και την καθοδήγηση που απαιτούνται για να αναπτυχθούν με τέτοιες αλλαγές. «Οποιοσδήποτε ρόλος παίζετε στη βιομηχανία, έχετε την ευκαιρία να συνεισφέρετε, να καταναλώνετε έρευνα και να εκπαιδεύετε τον εαυτό σας», δήλωσε ο J.R..

Ο ΜΚΟ παρέχει επίσης διάφορες ευκαιρίες πιστοποίησης. Το 2010, η CSA ξεκίνησε την πρώτη πιστοποίηση χρήστη ασφάλειας cloud του κλάδου, το Certificate of Cloud Security Knowledge (CCSK), δημιουργώντας ένα σημείο αναφοράς για την επάρκεια. Η ομάδα διαχειρίζεται επίσης το δημοφιλές CSA Security, Trust & Assurance Registry (STAR), ένα πρόγραμμα πιστοποίησης τριών μερών που περιλαμβάνει αυτοαξιολόγηση, έλεγχο τρίτου μέρους και συνεχή παρακολούθηση.

Αναζητάτε ενημερώσεις για νέες τεχνολογίες, έρευνα και τάσεις που σχετίζονται με το cloud computing; Το CloudBytes της CSA είναι μια συνεχής σειρά διαδικτυακών σεμιναρίων μίας ώρας γεμάτη βέλτιστες πρακτικές σε σχετικά θέματα ασφαλείας, όπως η προβολή σε κοντέινερ.

“Δημιουργήσαμε περισσότερο περιεχόμενο για να βοηθήσουμε τους ανθρώπους να κατανοήσουν διαφορετικές περιπτώσεις χρήσης και τεχνολογίες που σχετίζονται με το ταξίδι τους στο cloud”, δήλωσε ο J.R..

Σε γενικές γραμμές, η αποστολή της CSA είναι να “προωθήσει τη χρήση βέλτιστων πρακτικών για την παροχή διασφάλισης ασφάλειας στο cloud computing και να παρέχει εκπαίδευση σχετικά με τις χρήσεις του cloud computing για να εξασφαλίσει όλες τις άλλες μορφές υπολογιστών.”

Ο J.R. είπε ότι αυτό καλύπτει μια ποικιλία σεναρίων.

«Εάν, για παράδειγμα, θέλετε να ξεκινήσετε ένα πρόγραμμα διαχείρισης προμηθευτών εντός του οργανισμού σας, έχουμε ένα πλαίσιο που αντιστοιχεί σε σημαντικά βιομηχανικά πρότυπα», δήλωσε ο J.R. “Ή, εάν αισθάνεστε ότι υπάρχει κάτι που σχετίζεται με την ασφάλεια που δεν αντιμετωπίζεται, μπορούμε να το ελέγξουμε μέσω της κοινότητας και να αποφασίσουμε εάν είναι κάτι που πρέπει να ακολουθήσουμε ή όχι.”

Μια κοινότητα επιχειρηματιών, εταιρειών και κυβερνητικών φορέων

Το CSA διαθέτει μια εντυπωσιακή παγκόσμια παρουσία, με γραφεία, συνεργασίες, οργανισμούς-μέλη ή κεφάλαια σε κάθε ήπειρο εκτός από την Ανταρκτική. Εκτός από τη γεωγραφική της ποικιλομορφία, ο οργανισμός με γνώμονα τα μέλη στοχεύει να εξυπηρετήσει ένα ευρύ φάσμα ατόμων, νεοσύστατων επιχειρήσεων, επιχειρήσεων και παρόχων λύσεων.

«Όταν το καταλαβαίνουμε, όλοι χρειάζονται μια θέση στο τραπέζι και δεν κάνουμε διακρίσεις», δήλωσε ο J.R. «Σε ορισμένους οργανισμούς ανάπτυξης προτύπων, θα μπορούσατε να έχετε 20 χρόνια εμπειρίας και να μην προσκληθείτε σε μια συνάντηση. Στην περιοχή μας, μπορείτε να είστε οτιδήποτε από μια μύγα στον τοίχο, εκπαιδεύοντας τον εαυτό σας ή έναν ειδικό εμπειρογνώμονα.

Το υλικό είναι δωρεάν για άτομα με βάση ένα ελάχιστο επίπεδο συμμετοχής – μια εκπληκτικά προσιτή συμφωνία, δεδομένου ότι τα διάφορα ερευνητικά κανάλια της CSA συμβάλλουν στην επιτάχυνση της ανάπτυξης της σταδιοδρομίας.

«Μπορείτε να επιλέξετε να συνεισφέρετε όσο θέλετε και δεν θα κριθείτε», δήλωσε ο J.P. «Όσον αφορά την προσωπική ανάπτυξη, μπορεί να είστε σε θέση να αλληλεπιδράσετε, για παράδειγμα, με την CSO σε μια εταιρεία Fortune 500 ή άλλα ανώτερα στελέχη», είπε.

Οι πληρωμένες συνδρομές, όπως οι εκτελεστικές και εταιρικές επιλογές της CSA, παρέχουν στους οργανισμούς μια ποικιλία πλεονεκτημάτων, όπως συμβουλές ουδέτερων από προμηθευτές από ειδικούς ασφαλείας, πρόσβαση στο συμβούλιο χρηστών επιχειρήσεων, δωρεάν μάρκες για ευκαιρίες εκπαίδευσης και δωρεάν θέσεις σε εκδηλώσεις του κλάδου.

Ένα νέο σύνορο στο Cloud Security: Δημιουργία ενός πλαισίου IoT

Η κοινότητα cloud computing αυξάνεται συνεχώς και η CSA προσαρμόζει συνεχώς την πορεία της προς τα εμπρός σύμφωνα με τις μεταβαλλόμενες απαιτήσεις του κλάδου. Πρόσφατα, ο οργανισμός ανακοίνωσε ότι ανοίγει ένα νέο κεντρικό γραφείο της CSA Europe ως απάντηση στην ταχεία ανάπτυξη των μελών σε ολόκληρη την περιοχή.

Γραφικό που απεικονίζει την εκπαίδευση GDPR του CSA

Η CSA στοχεύει στην περαιτέρω συμμόρφωση του GDPR μέσω των οδηγιών διαφάνειας.

«Έχουμε εμπλακεί στην Ευρώπη εδώ και αρκετό καιρό, κυρίως σε επιχορηγήσεις της Ευρωπαϊκής Επιτροπής, αλλά τώρα ακολουθούμε το μοντέλο που έχουμε στις ΗΠΑ με εταιρική συμμετοχή», δήλωσε ο J.P. «Είναι ωραίο να βλέπεις μια αλλαγή στην περιοχή EMEA και να έχεις λίγο περισσότερη πρόσφυση σε αυτόν τον χώρο».

Η CSA θα συντονίσει επίσης τις δραστηριότητές της στο GDPR μέσω ενός νέου Κέντρου Αριστείας Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) για το cloud computing στο Βερολίνο της Γερμανίας. “Τα ιδρυτικά μέλη μας – Google, OneTrust, Netskope, eGov Consulting and Development, Zscaler και Qualys – μας βοήθησαν να ιδρύσουμε το GDPR Center of Excellence”, δήλωσε ο J.P. “Υπάρχουν πολλές ευκαιρίες για εκπαίδευση σε αυτόν τον χώρο που επηρεάζει πολλούς παγκόσμιους οργανισμούς.”

Η J.P. είναι επίσης ενθουσιασμένη για τα σχέδια για τη δημιουργία ενός πλαισίου IoT για την αντιμετώπιση συγκεκριμένων τομέων ασφαλείας. Λαμβάνοντας υπόψη το πόσο γρήγορα αλλάζει το ρυθμιστικό και τεχνικό μας τοπίο, η CSA προβλέπει ότι η ασφάλεια του IoT θα αλλάξει το παιχνίδι.

Και ενώ οι λαοί μπορεί να χλευαστούν την ιδέα να σχηματίσουν το Cloud Security Alliance το 2008, είναι δίκαιο να πούμε ότι η ιστορία δεν θα επαναληφθεί από την άποψη αυτής της πρόβλεψης. “Αν το σκεφτείτε, όλοι εισάγουμε την φορετή τεχνολογία στα εταιρικά μας περιβάλλοντα επειδή οι άνθρωποι παίρνουν τα προσωπικά τους πράγματα στη δουλειά και αυτό είναι αποδεκτό”, είπε. «Πρέπει να αποδεχθούμε το γεγονός ότι το IoT θα είναι μέρος του κόσμου μας και θα καταλάβουμε πώς να το προστατεύσουμε».

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me