Czy chmura jest bezpieczna?

Przy rozważaniu wykorzystywania technologii cloud computing, rodzą się pytania, które trzeba zadać sobie i dostawcy usług. Prezentujemy ich listę.

Ważnym zagadnieniem jest integralność danych, a więc:
1. Co dostawca zrobi, gdy stwierdzi się problem w stosie oprogramowania używanym w usłudze. Czy zauważy w ogóle taki problem?
2. Czy zapewniana jest integralność składowanych danych?
3. Jak firma chroni dane przetwarzane w systemie?
4. Kto jest odpowiedzialny za integralność i ochronę danych i jak wygląda audyt?

Ciemny cień chmury

Usługa w modelu cloud computing posiada też ciemne strony, są one związane z potencjalnymi zagrożeniami bezpieczeństwa i problemami z dostępnością. Należy więc wiedzieć:
1. Co się stanie, gdy zasoby zostaną wyłączone ze względu na obsługę innej firmy?
2. Jak dostawca radzi sobie z atakami odmowy obsługi lub nadużyciami zasobów przez innego odbiorcę?
3. Co będzie z danymi w przypadku bankructwa dostawcy? Jak szybko udałoby się je odzyskać? Ile czasu zajmie uruchomienie usług u innego dostawcy?
4. Jak wygląda ochrona danych przed usunięcie czy zmianami spowodowanymi przez innego klienta lub administratora? Kto może widzieć moje dane?
5. Jak wyglądają zapisy polityki bezpieczeństwa?
6. W jaki sposób dostawca zarządza zużytym sprzętem, takim jak dyski czy nośniki?
7. Czy dostawca zauważy utratę części danych firmy?
8. Co stanie się z danymi, gdy firma zaprzestanie korzystania z danego usługodawcy?
9. Kto w firmie jest odpowiedzialny za korzystanie z usług cloud computing? Kto zarządza transferem danych czy stacjami roboczymi? Kto będzie zarządzał migracją?

Chmura pod lupą

Z ochroną danych wiąże się nieuchronnie audyt bezpieczeństwa oraz zgodności z regulacjami prawnymi. W wielu dziedzinach regulacje wymuszają stosowanie takich, czy innych zabezpieczeń i to firma musi udowodnić audytorowi, że jest zgodna z tymi przepisami. W przypadku modelu cloud computing, dowód ten jest trudno przedstawić. W szczególności trudno jest: zorganizować raportowanie poszczególnych składników związanych z ochroną danych, które przełożą się na informacje dla audytora; opracować i wdrożyć politykę bezpieczeństwa informacji; określić położenie, gdzie dane są przetwarzane, co ma istotne znaczenie w obliczu regulacji prawnych związanych z obsługą danych finansowych przedsiębiorstwa. Czasami nie można nawet określić czy dane te znajdują się na serwerach w obrębie Unii Europejskiej, czy poza nią. Rodzi to poważne problemy prawne; określić reguły dostępu do danych bez użycia narzędzi z grupy Data Loss Prevention. Jest to zatem bardzo ważny składnik systemu.

m.computerworld.pl - sprawdź mobilną wersję serwisu Computerworld
w swoim smartfonie.