Cloud Governance הכלי למזעור סיכונים ומקסום התועלת העסקית

Cloud Governance הכלי למזעור סיכונים ומקסום התועלת העסקית אסף ויסברג, מנכ"ל, Ltd. introsight CGEIT, CRISC, CISM, CISA

נושאים לדיון IT Governance על קצה המזלג Cloud Computing למטאורולוג המתחיל תועלת עסקית מ- Cloud Computing אתגרים וסיכונים במימוש Cloud Computing Cloud Governance מזעור סיכונים ומקסום תועלת

יעדי על IT Governance השקעות IT מניבות תועלת עסקית משמעותית סיכוני IT מנוהלים באופן נאות ובכפוף לתיאבון הארגוני לסיכון

תחומי מיקוד IT Governance הלימה ליעדי הארגון Strategic Alignment Value Delivery יצירת ערך עסקי הקצאת משאבים Resource MGMT ניהול סיכונים Risk MGMT Performance MGMT מדידת ביצועים 2007 IT Governance Institute. All rights reserved. www.itgi.org

NIST על פי Cloud Computing מודל המאפשר גישה זמינה על פי דרישה, למשאבי מחשוב בהם ניתן לעשות שימוש מיידי ומהיר, בהשקעת משאבי ניהול מינימאליים וללא מעורבות ישירה של ספק השירות. מאפייני השירות: On-Demand Self-Service שירות לפי דרישה Broad Network access גישה באמצעות הרשת - אשכולות משאבים Pooling Resource Rapid Elasticity גמישות מיידית Measured Service http://csrc.nist.gov/groups/sns/cloud-computing/cloud-def-v15.doc שירות מדיד

Cloud Computing העתיד כבר כאן!

יתרונות עסקיים Cloud Computing יתרונות תפעוליים: מענה גמיש ומיידי לצרכים משתנים מענה לגידול טבעי או לעומס נקודתי זמינות גבוהה במקרה חרום יתרונות כלכליים: תשלום לפי צריכה השקעה ראשונית מינימאלית חיסכון בשטחי אחסון ואנרגיה בחברה או אצל הספק

יתרונות אסטרטגיים Cloud Computing גמישות ומיידיות במענה להזדמנויות עסקיות צמצום המרדף אחר טכנולוגיות חדשות צמצום ובכך הצורך לצדקת ROI של רכיבי תשתית מחלקת IT יכולה להסיט חלק מהמיקוד והמשאבים, מעיסוק בטכנולוגיה, לאספקת פתרונות עסקיים ולשיפור תהליכים

סיכונים עסקיים Cloud Computing איכות הספק חוסן פיננסי, מוניטין, היסטוריה מיקום הנתונים היבטים חוקיים וזמינות בחירום אי עמידה בדרישות רגולציה היעדר אפשרות לבקרה וביקורת חוסר בתקנים מחייבים החקיקה הקיימת, אינה ערוכה לאתגרי הענן

סיכונים תפעוליים Cloud Computing פגיעות של הסביבה הוירטואלית קיום מעקב אחר נכסי מידע המועברים לספק חיסיון נתונים בין לקוחות שונים ומול אנשי הספק הקצאת הרשאות עפ"י עקרונות Least Priv, SoD הגדרה של חלוקת סמכות ואחריות עם הספק

Cloud Governance IT Gov for the Cloud = Cloud Governance

Cloud Governance הלכה למעשה יש לקיים דיון בועדת ההיגוי לענייני,IT ולבחון: האם מחשוב ענן תואם את הכיוון האסטרטגי של הארגון? האם יש צורך/הצדקה עסקית, לשימוש בשירותים אלו? אם כן, יש למנות תת ועדה, ברשות המנמ"ר הכוללת: נציגי גופים עסקיים רלוונטיים מנהל אבטחת מידע קצין ציות/ניהול סיכונים המבקר הפנימי היועץ המשפטי

תפקידי הועדה לענייני מטאורולוגיה מיפוי סוגי השירותים/נכסי מידע, אותם ניתן להוציא בחינת מגבלות והיבטים רגולטורים גיבוש מפרט דרישות ואיתור ספקים פוטנציאליים ניסוח חוזה התקשרות עם ספק שירותי מחשוב ענן גיבוש מנגנוני עבודה ודיווח מול הספק הנבחר ניטור, מדידת ביצועים ומעקב יישום

לסיכום - זו שאלה עסקית To Cloud or not to Cloud? המנמ"ר הינו הפונקציה המתאימה להובלת המהלך נדרשת מעורבות גורמים שונים להצלחת ההתקשרות יש לאזן בין התועלת העסקית לבין סיכוני הענן Cloud Governance הינו הכלי למזעור סיכונים ומקסום התועלת העסקית, אותה ניתן להפיק ממחשוב ענן

מקורות מידע נוספים Cloud Computing Management Audit/Assurance Program 2010 ISACA Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives 2009 ISACA www.cloudsecurityalliance.org csrc.nist.gov/groups/sns/cloud-computing http://www.enisa.europa.eu/act/rm/files/deliverables/clou d-computing-risk-assessment www.isaca.org/cloudcomputingresources http://en.wikipedia.org/wiki/cloud_computing

תודה על ההקשבה asaf.weisberg@introsight.it