EnglishНа русском

Переглянути у форматі pdf

INTERNAL AUDIT AND CLOUD INFORMATION SECURITY
L. Khodakivska, V. Plaksiienko, Y. Hrybovska

Назад

DOI: 10.32702/2306-6806.2019.10.26

УДК: 657.633:004.056:[004.383.2:004.738.5]

L. Khodakivska, V. Plaksiienko, Y. Hrybovska

INTERNAL AUDIT AND CLOUD INFORMATION SECURITY

Summary

In the past decade more and more companies moving their operations to the Cloud. In each case the reason for this decision is different: some are looking for a better ability to streamline the company processes and workloads and gain more robust organization flexibility. Others are after faster applications deployment and an ability to expand in different business areas. On the other hand, some companies just want to standardize their IT-capabilities by providing more unified software solutions across the enterprise. However, there are a few common grounds between all of these companies in their decisions. First, they want to cut cost (on technology infrastructure as well as software licensing). Secondly, they want to become less dependent on the delivery platform at the same time as get easier adaptable to changes in the IT-environments. Third, they want to get closer to their customers by providing new services and marketing programs at the same time as getting that done more efficient and cheaper. Fourth, these companies want to change their capital investment structure by reducing the cost structure. The number of benefits for the companies moving to the Cloud is endless; however, the potential security cost increases significantly as well. By moving to the Cloud, the companies losing one of their most valuable assets: ability to control their underlined infrastructure and create self-governed environments. On the Cloud this responsibility will be fully delegated to the Cloud service provided. In most instances, the space on the Cloud servers will need to be shared across multiple non-related companies, where some of them might have different standard of internal security and create extra, unnecessary traffic to the shared servers. That unrelated traffic might slow down all renters located on this Cloud server. Finally, the companies will expose their data to outside world as never before. That can create an opportunity to the malicious individuals to steal and compromise the information. Without adequate security protocols, established intrusion detection mechanisms, and full understanding of possible risks, decision to move to the Cloud should not be made. But even after the decision is reached, a search for the Cloud service vendor must be done in the very meticulous way. A common determination what data to put on the Cloud and what not must be accepted and verified on all technical and business levels of the company. And finally, an appropriate level of the data security and encryption must be established and enforced. This article will review risks and benefits of the decision to move to the Cloud in more details and address some aspects that companies need to take into consideration before making such type of move.

Keywords: Cloud based services; Cloud system management; SaaS; PaaS; IaaS; data security; system vulnerabilities; DevOps.

References

1. The Research Committee of the Dallas Chapter of the IIA (2012), "Cloud Computing: A Study of Internal Audit's Preparedness in the Dallas Area", available at: https://na.theiia.org/iiarf/Public%20Documents/IIA%20Dallas%20Research%20Project%20-%20Final%20Submission.pdf (Accessed 17 Sept 2019).
2. Liu, Sh. (2018), "Public cloud revenue worldwide from 2016 to 2027, by segment (in billion U.S. dollars)", available at: https://www.statista.com/statistics/477763/public-cloud-segment-revenue-forecast/ (Accessed 17 Sept 2019).
3. 451 Research (2017), "69 % of enterprises will have multi-cloud/hybrid IT environments by 2019, but greater choice brings excessive complexity", available at: https://451research.com/images/Marketing/press_releases/Pre_Re-Invent_2018_press_release_final_11_22.pdf (Accessed 17 Sept 2019).
4. Canalys (2019), "Cloud infrastructure spend grows 46 % in Q42018toexceed US$80 billion for full year", available at: https://www.canalys.com/static/press_release/2019/pr20190204.pdf (Accessed 17 Sept 2019).
5. Protiviti (2012), "Internal Audit's Role in Cloud Computing", available at: https://www.protiviti.com/US-en/insights/wp-internal-audit-role-cloud-computing (Accessed 17 Sept 2019).
6. Pundmann, S. Young, C. Willis, Ch. and Awasthi, D. (2018), "Moving to the Cloud? Engage Internal Audit Upfront", Deloitte Risk and Financial Advisory, Deloitte & Touche LLP, available at: https://deloitte.wsj.com/riskandcompliance/2018/11/26/moving-to-the-cloud-engage-internal-audit-upfront/ (Accessed 17 Sept 2019).
7. Utley, G. (2018), "6 Most Common Cloud Computing Security Issues — CWPS", available at: https://www.cwps.com/blog/cloud-computing-security-issues (Accessed 17 Sept 2019).
8. BeyondTrust (2019), "Cloud Security/Cloud Computing Security", available at: https://www.beyondtrust.com/resources/glossary/cloud-security-cloud-computing-security (Accessed 17 Sept 2019).
9. Linthicum, D. (2019), "DevOps dictates new approach to cloud development", available at: https://techbeacon.com/app-dev-testing/devops-dictates-new-approach-cloud-development (Accessed 17 Sept 2019).
10. Gartner (2019), available at: https://www.gartner.com/it-glossary/devops/ (Accessed 17 Sept 2019).
11. MacDonald, N. (2019), "Market Guide for Cloud Workload Protection Platfor", available at: https://www.gartner.com/doc/reprints?id=1-6JH8ZKN&ct=190417&st=sb (Accessed 17 Sept 2019).

Л. О. Ходаківська, В. Я. Плаксієнко, Ю. М. Грибовська

ВНУТРІШНІЙ АУДИТ І ХМАРНА ІНФОРМАЦІЙНА БЕЗПЕКА

Анотація

В останнє десятиліття все більше і більше компаній переводять свої операції на Хмару. У кожному випадку причина цього рішення різна: деякі шукають кращу здатність спростити процеси, робочі навантаження компанії і отримати велику гнучкість організації. Деякі — більш швидкого розгортання додатків і можливості розширення в різних сферах бізнесу. З іншого боку, деякі компанії просто хочуть стандартизувати свої IT-можливості, надаючи більш уніфіковані програмні рішення для всього підприємства. Проте є кілька загальних підстав для всіх цих компаній в їх рішеннях. По-перше, вони хочуть скоротити витрати (на технологічну інфраструктуру і ліцензування програмного забезпечення). По-друге, вони хочуть стати менш залежними від платформи доставки і одночасно легше адаптуватися до змін в IT-середовищах. По-третє, вони хочуть стати ближче до своїх клієнтів, пропонуючи нові послуги і маркетингові програми, одночасно роблячи це більш ефективним і дешевшим. По-четверте, ці компанії хочуть змінити свою структуру капіталовкладень, скоротивши структуру витрат. Кількість переваг для компаній, які переходять на Хмару, нескінченна. Проте потенційна вартість безпеки також значно зростає. Перейшовши на Хмару, компанії втрачають один зі своїх найцінніших активів: здатність контролювати свою власну інфраструктуру і створювати самокеровані середовища. На Хмарі ця відповідальність буде повністю делегована компанії, яка надає Хмарні послуги. У більшості випадків простір на Хмарних серверах може бути розподілений між кількома непов'язаними між собою компаніями, де одні з них можуть мати різні стандарти внутрішньої безпеки і створювати додатковий непотрібний трафік для загальних серверів. Цей непов'язаний трафік може уповільнити роботу всіх орендарів, розташованих на цьому хмарному сервері. Нарешті, компанії будуть відкривати свої дані зовнішньому світу, як ніколи раніше. Це може створити можливості зловмисникам вкрасти і скомпрометувати цю інформацію. Без адекватних протоколів безпеки, встановлених механізмів виявлення вторгнень і повного розуміння можливих ризиків, рішення про перехід на Хмару не повинно прийматися. Але, навіть після того, як рішення буде прийнято, пошук постачальника Хмарних послуг повинен бути виконаний дуже ретельно. Загальне визначення того, які дані поміщати на Хмару, а які ні, слід приймати і перевіряти на всіх технічних і бізнес-рівнях компанії. І, нарешті, необхідно встановити і затвердити відповідний рівень безпеки та шифрування даних. У цій статті буде більш докладно розглянуто питання про ризики та переваги рішення про перехід на Хмару і розглянуто деякі аспекти, які необхідно враховувати компаніям, перш ніж робити подібні дії.

Ключові слова: хмарні сервіси; управління хмарними системами; SaaS; PaaS; IaaS; безпека даних; вразливість системи; DevOps.

№ 10 2019, стор. 26 - 30

Дата публікації: 2019-10-31

Кількість переглядів: 63

Відомості про авторів

L. Khodakivska

PhD in Economics, Associate Professor of the Department of Accounting and Economic Control, Poltava State Agrarian Academy, Poltava

Л. О. Ходаківська

к. е. н., доцент, доцент кафедри бухгалтерського обліку та економічного контролю, Полтавська державна аграрна академія, м. Полтава

ORCID:

0000-0002-6758-697X


V. Plaksiienko

Doctor of Economic Sciences, Professor,Head of the Department of Accounting and Economic Control,Poltava State Agrarian Academy, Poltava

В. Я. Плаксієнко

д. е. н., професор, завідувач кафедри бухгалтерського обліку та економічного контролю,Полтавська державна аграрна академія, м. Полтава

ORCID:

0000-0003-0371-1054


Y. Hrybovska

PhD in Economics, Associate Professor of the Department of Accounting and Economic Control, Poltava State Agrarian Academy, Poltava

Ю. М. Грибовська

к. е. н., доцент, доцент кафедри бухгалтерського обліку та економічного контролю,Полтавська державна аграрна академія, м. Полтава

ORCID:

0000-0001-5205-9045

Як цитувати статтю

Khodakivska, L., Plaksiienko, V. and Hrybovska, Y. (2019), “Internal audit and cloud information security”, Ekonomika ta derzhava, vol. 10, pp. 26–30. DOI: 10.32702/2306-6806.2019.10.26

Creative Commons License

Стаття розповсюджується за ліцензією
Creative Commons Attribution 4.0 Міжнародна.