من المهم لمختلف المؤسسات التي تسعى للمضي في رحلة التحول الرقمي أو التي شرعت بالتغيير والتحول مسبقاً الاهتمام في الأمن السحابي نظراً لكونه جزء لا يتجزأ من الاستراتيجية الأمنية الشاملة لحماية المؤسسة وعملائها والبنية التحتية الخاصة بها، وذلك نظراً لتوجه المؤسسات المختلفة في عصرنا الرقمي للترحيل إلى السحابة ودمج الأدوات والخدمات السحابية ضمن أعمالها، والذي يترتب عليه مخاطر كبيرة بحال لم تكن آمنة ومحمية.
يُعتبَر مزودي الخدمات السحابية معنيين بالمقام الأول في الامن السحابي والذي يتضمن تنفيذ مجموعة من الإجراءات والتقنيات لمعالجة التهديدات الداخلية والخارجية وتطبيق مختلف المعايير العالمية الخاصة بالسحابة والتي تضمن حماية وأمن الخدمات السحابية التي يتم تقديمها للأعمال والأفراد. فما هي أهمية أمن السحابة ؟ وما أبرز المعايير التي تم إصدارها واعتمادها بشكل دولي للحفاظ على أمان السحابة؟ هذا ما سنجيب عليه ونوضحه بشكل مفصل في المقال فتابع معنا.
أهمية الأمن السحابي ومسؤولية المؤسسات تجاهه
أولاً: الترحيل إلى السحابة
خلال السنوات الأخيرة شهدت المؤسسات إجراءات واسعة للتغيير ومن ضمنها كان الانتقال إلى البيئات القائمة على السحابة ونماذج الحوسبة IaaS أو Paas أو SaaS. اقرأ حولها أكثر بمقال أنواع الحوسبة السحابية: 4 نماذج أساسية في النشر على السحابة.
وعلى الرغم من أن معظم بائعي الخدمات السحابية يطبقون أفضل ممارسات الأمان والحماية لضمان سلامة خوادمهم، فذلك لا يُخلي مسؤولية المؤسسات التي تعتمد على خدمات السحابة من تطبيق ممارسات ومعايير خاصة بها لحماية بياناتها وتطبيقاتها وأعمالها المختلفة التي تعتمد وتعمل على السحابة.
ثانياً: تزايد التهديدات الأمنية على مزودي الخدمات السحابية
ازدادت التهديدات الأمنية والهجمات السيبرانية وتطورت بشكل مستمر تماشياً مع تطور المشهد الرقمي، وهذا يعد عامل آخر يؤكد على ضرورة أمان السحابة، حيث أصبحت هذه التهديدات موجهة نحو مزودي الحوسبة السحابية بشكل صريح وذلك نتيجة افتقار المؤسسات للرؤية في الوصول إلى البيانات وطرق حركتها ونقلها، وعدم اتخاذها لأي خطوات لتحسين الأمان السحابي.
ثالثاً: مخاطر الحوكمة
قد تواجه المؤسسات مخاطر كبيرة تتعلق بالحوكمة والامتثال أثناء إدارة معلومات العملاء، بغض النظر عن مكان تخزينها ، وقد تخضع لمسائلات قانونية بحال تعرضت البيانات للسرقة أو الضياع، لذا يجب أن يكون الامن السحابي موضوعاً رئيسياً بكل مؤسسة بغض النظر عن حجمها أو القطاع الذي تتبع له، حيث تدعم البنية التحتية السحابية كافة جوانب الحوسبة الحديثة في صناعات وقطاعات متعددة.
تذكر: سواء كانت مؤسستك تعمل في بيئة سحابية عامة أو خاصة أو مختلطة، عليك تطبيق حلول أمان السحابة وأفضل الممارسات التي يوصي بها الخبراء في هذا المجال لتضمن استمرارية أعمالك دون مشاكل أو تهديدات.
معايير وأطر الأمن السحابي
أصدرت العديد من المنظمات الدولية معايير تتناول موضوع أمن الخدمات السحابية، وسنسلط الضوء في هذا القسم من المقال على المنظمة الدولية للمقاييس ISO والتي أصدرت حتى اليوم 13 معيار يتضمن مواضيع تتعلق بالسحابة وأمنها، بالإضافة ل مجلس معايير أمان (PCI (PCI SSC والذي أصدر معيار PCI DSS الذي ينطبق أيضاً على مزودي الخدمات السحابية، والآن إليك تفاصيل أكثر حول هذه المعايير:
1. ISO/IEC 27002: 2022 :
تم إضافة معرف التحكم الجديد 5.23 – أمان المعلومات لاستخدام الخدمات السحابية– إلى ISO / IEC 27002: 2022 لتحديد وإدارة أمن المعلومات لاستخدام الخدمات السحابية، ويوفر عنصر التحكم الجديد إرشادات للمؤسسات حول كيفية إنشاء وإيصال سياسة بشأن استخدام الخدمات السحابية إلى جميع الأطراف المهتمة ذات الصلة ، كما يجب على المنظمة أن تحدد وتبلغ عن كيفية إدارة مخاطر أمن المعلومات المرتبطة باستخدام خدمات السحابة في المؤسسة.
2. ISO/IEC 22123: 2021 ، تقنية المعلومات – الحوسبة السحابية:
يوفر هذا المعيار مرجعاً رائعاً للتعرف على المصطلحات والتعريفات الخاصة بالحوسبة السحابية.
3. ISO/IEC 19944: 2020 ، الحوسبة السحابية والأنظمة الأساسية الموزعة:
يقدم هذا المعيار وصفاً للنظام البيئي (ecosystem) للأجهزة والخدمات السحابية بالإضافة لتدفق البيانات بين الخدمات السحابية وعملاء الخدمة السحابية ومستخدمي الخدمات السحابية وأجهزتهم. كما يقدم المعيار مجموعة من الإرشادات حول كيفية استخدام البيانات على الأجهزة في سياق النظام البيئي للحوسبة السحابية وما يرتبط به من مشكلات تتعلق بالموقع والهوية التي تنشأ من هذا الاستخدام.
- بالإضافة لذلك تم تقديم اقتراح لمخطط استخدام البيانات ضمن المعيار والذي يمكن الاستفادة منه من قبل مقدمي الخدمات السحابية واستخدامه من أجل تقديم العون لعملاء الخدمة السحابية ومساعدتهم على حماية خصوصية وسرية بياناتهم وبيانات مستخدميهم.
4. ISO/IEC 23167: 2020 ، تقنية المعلومات – الحوسبة السحابية:
يقدم هذا المعيار وصفاً للتقنيات الشائعة التي يتم استخدامها إلى جانب الحوسبة السحابية ، مثل الأجهزة الافتراضية (Virtual Machines)، الأتمتة، خدمات التخزين، الأمان وقابلية التوسع والشبكات والمزيد..
5. ISO/IEC 27018: 2019 ، تقنية المعلومات – تقنيات الأمان:
تم إنشاء هذا المعيار بشكل مخصص لحماية معلومات التعريف الشخصية (PII) في خدمات الحوسبة السحابية العامة (Public Cloud Computing)، عن طريق مجموعة من الإرشادات تتعلق بالخصوصية.
6. ISO / IEC 27017: 2019 ، تقنية المعلومات – تقنيات الأمان:
يوفرهذا المعيار ضوابط وإرشادات لكل من مقدمي الخدمات السحابية وعملاء الخدمة السحابية حول جوانب أمن المعلومات للحوسبة السحابية وضوابط أمن المعلومات الخاصة بالسحابة، بالإضافة لإرشادات تنفيذ ضوابط أمن المعلومات المحددة بمعيار ISO / IEC 27002.
7. ISO/IEC 22678: 2019 ، تقنية المعلومات – الحوسبة السحابية:
يوفر هذا المعيار إرشادات حول استخدام المعايير الدولية كأداة في تطوير تلك السياسات التي تحكم أو تنظم مزودي الخدمات السحابية (CSPs) والخدمات السحابية ، بالإضافة للسياسات والممارسات التي تحكم استخدام الخدمات السحابية في المؤسسات.
8. ISO/IEC 19941: 2017 ، تقنية المعلومات – الحوسبة السحابية:
يهدف هذا المعيار لإنشاء فهم مشترك بين أصحاب المصلحة السحابيين مثل CSCs و CSPs ،وشركاء الخدمات السحابية (CSN)الذين يعملون كمطوري خدمات سحابية، حول أهم المفاهيم والمصطلحات الخاصة بإمكانية التشغيل البيني وقابلية النقل للحوسبة السحابية.
9. ISO/IEC 17826: 2016 ، تقنية المعلومات:
تم إنشاء هذا المعيار بشكل مخصص وموجه لمطوري التطبيقات الذين ينفذون أو يستخدمون التخزين السحابي، كما يوثق كيفية الوصول إلى التخزين السحابي وإدارة البيانات المخزنة بالسحابة.
10. ISO/IEC 18384: 2016 ، تقنية المعلومات:
يحدد هذا المعيار المصطلحات والإرشادات والمبادئ الفنية العامة التي تقوم عليها البنى الموجهة للخدمة (service-oriented architecture (SOA))، والتي يتم نشرها غالبًا في الأنظمة الأساسية السحابية.
11. ISO/IEC 19086: 2016 ، تقنية المعلومات – الحوسبة السحابية :
يهدف المعيار بشكل أساسي لإنشاء فهم مشترك بين مقدمي الخدمات السحابية وعملاء الخدمة السحابية، كما يوفر نهج المعيار المرونة لموفري الخدمات السحابية في تخصيص اتفاقيات مستوى الخدمة السحابية الخاصة بهم وفق الخصائص الخاصة للخدمات السحابية التي يتم تقديمها للعملاء.
12. ISO/IEC 17789: 2014 ، تقنية المعلومات–الحوسبة السحابية:
يحدد هذا المعيار البنية المرجعية للحوسبة السحابية (CCRA)، حيث تتضمن البنية المرجعية أدوار الحوسبة السحابية وأنشطتها والمكونات الوظيفية لها وعلاقاتها.
13. ISO/IEC 27001: 2013 ، تقنية المعلومات – تقنيات الأمان – أنظمة إدارة أمن المعلومات:
توفر المتطلبات الخاصة بهذا المعيار إطار العمل والتوجيه لإنشاء نظام إدارة أمن المعلومات الذي يمكن تطبيقه على التطبيقات السحابية وغير السحابية. كما يقدم هذا المعيار إطار عمل لإجراء عمليات تدقيق أمان السحابة.
14. معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS):
وينطبق هذا المعيار على المؤسسات التي تعمل على معالجة البيانات الخاصة بحاملي البطاقات الخاصة بالدفع أو تقوم بتخزينها أو نقلها، وينطبق هذا المعيار على موفري الخدمات السحابية (CSPs).
كيف يمكن لمؤسستي تطبيق معايير الامن السحابي؟
أعتقد أنك الآن في حيرة من أمرك حول المعيار المناسب لمؤسستك والذي عليك تطبيقه لضمان أمان الخدمات السحابية التي تقدمها بحال كنت من مزودي الخدمات السحابية، أو التي تعتمد عليها بأعمالك بحال كنت من مستخدمي تلك الخدمات، لذلك فإن الحل الأنسب والذي سيضمن لك التقدم بشكل صحيح هو استشارة مختصين بالمجال ممن يملكون خبرة واسعة في معايير الآيزو.
يمكن لمؤسستك الحصول على شهادة دولية بعد الامتثال وتجاوز عمليات التدقيق، وسيعود ذلك بفوائد عظيمة على أعمالك، حيث سينتقل اسم مؤسستك لطليعة المؤسسات المميزة في أمن خدماتها محلياً ما يزيد من رغبة العملاء بالتعاقد معها، بالإضافة لأنك ستحظى بثقة ورضا عملائك وسمعة حسنة تعكس اهتمام مؤسستك بتطبيق المعايير الدولية للحماية والأمن.
يوجد الكثير من الشركات التي تقدم للمؤسسات المختلفة استشارات حول المعايير الدولية المتعلقة بالخدمات السحابية كمعايير الآيزو، وتعتبر شركة ريناد المجد لتقنية المعلومات (RMG) إحدى أهم الشركات الرائدة في المملكة والتي تقدم لك خدمات منوعة منها الاستشارة، التنفيذ ، التدقيق، وصولاً لمرحلة الامتثال وحصولك على شهادة دولية.
ارفع ثقة عملاءك وسارع بالحصول على شهادة امتثال دولية لأمن خدماتك السحابية الآن!
للحصول على استشارة حول خدماتنا المتعلقة بالمعايير الدولية الخاصة بالخدمات السحابية اتصل بنا مباشرة من هنا.
اقرأ أيضاً: أهم 7 عوامل لاختيار مزود الخدمات السحابية المناسب.
