Вземане на решение за въздействие върху риска

Тук погледът е насочен към минимизиране на възможната щета в бъдеще и поради това възниква проблема за оценяване на сравнителната ефективност на разглежданите достъпни методи за въздействие по множество от различни критерии.

Вземането на решение включва определянето на необходимите ресурси за реализиране на избрания метод за въздействие върху риска, анализ на условията на средата, разпределение на отговорностите на лицата по риск менаджмента и т.н.

При вземането на решение особено място заема интуицията на мениджъра, а тогава, когато трябва да се оцени рискът е много трудно, се използват различни системи от евристични правила.

Една препоръчвана от различни автори система има следните евристични правила:

- не трябва да се рискува повече, отколкото може да ти позволи собствения капитал;

- винаги трябва да се мисли за последиците от риска;

- положително решение се взема само при липса на съмнения;

- не трябва да се рискува много заради малко;

- при наличие на съмнения се вземат отрицателни решения;

- не трябва да се мисли, че винаги има само едно решение, възможно е да има и други варианти.[8]

Интуицията на IT-мениджъра сработва добре, когато той и неговия екип притежават компетенции.Революционната технология предполага и натрупване на нови познания именно в тази област.Обучението на кадрите поддържащи клауд-системите е от ключово значение за изграждането на доверие от страна на потребителите.Най-важните области, в които трябва да бъде подготвен персонала са:[4]

1.Модел и рамка на структурата на сигурността

2.Управление на сигурността и технология на одитирането- включва

• 
  Проучване на насоките за определяне на изискванията на потребителите- в хода на тази идентификация на изискванията за сигурност, анализът на бизнес процесите, анализът на класифицирана информация за активите, както и прегледът на собствена политика за сигурност, трябва да се извършват, за да могат потребителите да определят кои части от бизнеса си и информацията или от активите си ще възложат на определен доставчик.След определянето на това кои части от бизнеса и информацията или активи, трябва да бъдат определени и съответните клауд-услуги, изискванията за сигурност на потребителя следва да бъдат изяснени и уточнени за следващата стъпка (избор на доставчици).
  
• 
  Критерии за оценка на доставчиците- това се извършва за осигуряване на мерки за оценка и одит на доставчици от гледна точка на потребителя, въз основа на единната контролна структура ISO ISMS / SSAE16 SOC2 / ISAE3402.Относно одита на сигурността, одитиращия клауд-системата може да направи оценка на контрола.Тя оценява дали контролите са изпълнени правилно, функционират както е предвидено, както и постигането на желания резултат по отношение на изпълнението на изискванията за сигурност в облака. Също така трябва да бъдат предоставени насоки за периодичен преглед на избрания доставчик.
  
• 
  Стандартизиран SLA (Service Level Agreement) шаблон
  
• 
  Риск мениджмънт и смекчаване на последиците от операционния риск- операционният риск в околната среда на облака трябва да бъде третиран като функция на въздействието върху бизнеса и вероятността за инцидентен сценарий, който може да се отрзи на общата стойност на организацият-наемател(VaR). Онтологията на риска трябва да бъде избрана въз основа на клауд-услугата пригодена спрямо потребителските бизнес нужди, тя трябва да бъде насочена към опростяване на финансовите изчисления, свързани с клауд-миграцията. Специално внимание трябва да се обърне на определението на операционния риск от Базелския комитет за банков надзор (BCBS).
  
• 
  Мониторинг на сигурността отговарящ на всички географски и законодателство в сектора на IT-услугите.В предлагането на инфраструктурата като услуга (IaaS), доставчиците включват сигурността в състоянието на физическата и виртуалната машина, мрежата и съхранението. В една платформа като услуга (PaaS) или софтуера като услуга (SaaS), като patch-статуса на част от софтуера е важен. И в двата случая (PaaS и SaaS), заявките се предоставят чрез облака и техния статус на актуализация ще трябва да бъде наблюдаван. Достъпът до тази информация следва да бъде осигурен на всеки потребител за предотвратяване на използването на данните от страна на неоторизирани лица използващи клауд-околната среда.
  

4.Сигурност на съхранението-по този въпрос IT-специалистите трябва да се подготвят в следните области:

• 
  Мениджмънт на съхранението(включително и самостоятелно криптиране)
  
• 
  Бекъп на системата за сигурност(включва и съхранение на текущото състояние)
  
• 
  „Шлюзове” на мрежата за съхранение
  
• 
  Дъкгосрочно съхранение(он-лайн и оф-лайн)
  

• 
  Техническа спецификация за криптиране и защита на целостта на данните при техния транзит
  
• 
  Техническа спецификация на методика за изпълнение за управление на ключови процеси
  
• 
  Техническа спецификация за изпълнение на силен контрол на достъпа
  
• 
  Метод за анализ на защитата на данните и сложността на криптирането, наблюдение и защита на данните независимо от мястото на използването им
  

• 
  Развитие на клауд-базирано разпознаване и подобряване на архитектурата и механизмите за оторизация (включително и силна двуфакторна техника за идентификация)
  
• 
  Метод за откриване на инче скъпи нерегламентирани дейности
  
• 
  Обучение относно мрежовата идентификация
  
• 
  Сигурност, използване и отговорности на потребители и доставчици
  

8.Мрежа за управление на сигурността-За да се гарантира защитата на мрежите, използвани в клауд-услугите и защитата на поддържащата инфраструктура, сигурното управление на мрежите изисква внимателно обмисляне на потока, правните последици, наблюдението и защитата. Мрежата следва да бъдат адекватно управлявана и контролирана, за да бъде защитена от заплахи и да се поддържа сигурността на клауд-системи и приложенията използвани в мрежата, включително и информация в транзита.

9.Оперативна съвместимост и преносимост на сигурността- Методите и стандартите за преносимост и оперативна съвместимост обхващат:

• 
  Методи за запазване или повишаване на сигурността, функционалността, предоставена от предходния доставчик, прилагане и постигане на успешна миграция на данни в SaaS.
  
• 
  Методи за минимизиране на презаписа и да запази или да увеличи контрола на сигурността по миграцията PaaS.
  
• 
  Методи за осигуряване на миграцията както на приложенията, така и на данните и се движението в нов клауд-доставчик на IaaS.
  
• 
  Стандарти за оперативна съвместимост и преносимост между доставчиците на клауд-услуги.
  

11.Предвидими отговорности-според теорията на ограниченията на Е.М.Голдрат, веригата толкова здрава колкото най-слабата й брънка.Това означава, че при изграждането на клауд-системи, трябва да се обърне внимание предимно на слабостите в системата, а не да се засилва вниманието към нейните предимства. Като се абстрахираме от ограниченията в бизнеса, които възникват от отговорностите на заинтересованите страни, остава въпросът за юридическата рамка, която ясно трябва да „картографира” допустимите и недопустимите действия и правомощия, както на клиента и доставчика, така и на държвата или държавите между, които се извършва тразитът на данните от клауда.Специалистите трябва да разработят такива логически и математически връзки в клауда, така че да могат да се предотвратяват атаките и да се ликвидират вече съществуващите неправомерни намеси в системата, без това да е за сметка на потребителите и без да може държавата да има нерегламентиран достъп до данните в клауда.Тук доста добра аналогия може да се направи с пазенето на банковата тайна-всеки, който има пари не желае да се знае точно колко има и от къде ги има, а това дали държавата ще има достъп до банковата тайна е въпрос на стриктна регулация.Предполага се, че технолгии като Rule, LegalRuleML, Legislative XML, OWL, RDF, SBVR, SWRL, RIF, и LKIF ще бъдат тествани като методи за изразяване на предвидимите отговорности в рамките на веригата от клауд-доставки и да изясни неясните до сега отговорности на страните извършващи многостран чивите операции в облака.