Jeszcze nie tak dawno organizacje z sektora MŚP nie miały możliwości zapewnienia swoim systemom IT ochrony klasy enterprise, głównie z powodu wysokich kosztów. Dzisiaj jednak możliwość stosowania zabezpieczeń zapewniających poziom ochrony dostępny głównie dla dużych firm jest również w zasięgu mniejszych organizacji. Rozwiązania bezpieczeństwa w modelu SaaS (Software as a Service) - czyli dostarczanie aplikacji w postaci usługi hostowanej w infrastrukturze IT dostawcy - mogą zapewniać "ochronę z chmury". Oznacza to możliwość przeniesienia części odpowiedzialności za bezpieczeństwo IT do usługodawcy, który ma możliwość zatrudnienia wykwalifikowanych specjalistów od bezpieczeństwa, dla małych i średnich przedsiębiorstw zazwyczaj nieosiągalnych z uwagi na koszty.

Model usługowy ma też tę przewagę, że eliminuje koszty bezpośrednie, ponoszone na zakup sprzętu i oprogramowania oraz koszty bieżące: utrzymania i uaktualniania systemu, a często również konieczność zatrudnienia dodatkowego personelu.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna

Chmura atrakcyjną alternatywą

Mniejsze organizacje stały się łakomym kąskiem dla cyberprzestępców, przeznaczających coraz większe zasoby na przełamywanie ich barier ochronnych. W sektorze MŚP można znaleźć cenne dane (np. osobowe), a uzyskanie wrażliwej informacji może być łatwiejsze, ponieważ w takich organizacjach zazwyczaj brakuje specjalistów od spraw bezpieczeństwa IT. W tej sytuacji warto rozważyć wdrożenie systemu kontroli bezpieczeństwa oferowanego w formule SaaS, nieodbiegającego poziomem od rozwiązań stosowanych w dużych firmach.

W odpowiednich warunkach, model ochrony z chmury może zapewnić mniejszym firmom lepsze bezpieczeństwo niż strategia budowania ochrony własnej. Właściwie wybrany dostawca usługi może uwolnić niewielki zespól IT małej firmy od konieczności śledzenia najnowszych technologii zabezpieczeń i aktualnych zagrożeń, gdyż koszty bezpieczeństwa z chmury są przewidywalne. Zazwyczaj jest to opłata miesięczna, obliczana z uwzględnieniem liczby użytkowników. Model ten uwalnia od kosztów inwestycji oraz konserwacji i aktualizacji.

Mały biznes przenosi w chmurę zazwyczaj aplikacje podstawowe, jak np. poczta elektroniczna, ale ostatnio można zauważyć trend przenoszenia bardziej krytycznych aplikacji biznesowych, w tym również systemów kontroli bezpieczeństwa. Mniejsze organizacje mogą przenieść w chmurę wszystkie funkcje ochronne lub wybrać podejście hybrydowe: wykorzystanie już posiadanych środków bezpieczeństwa i jednocześnie korzystanie z doświadczeń usługodawcy w innych obszarach bezpieczeństwa.

Pierwszym krokiem do stworzenia skutecznego systemu bezpieczeństwa - również opartego na chmurze - jest wykonanie oceny stanu bezpieczeństwa, identyfikującej luki i formułującej plan ochrony IT. Do wykonania takiej oceny najlepiej wynająć zewnętrznego audytora. Świeże spojrzenie i narzędzia testów penetracyjnych mogą ujawnić luki, które wewnętrzny specjalista może nieświadomie pominąć.

Audyt powinien określić słabe punkty ochrony, w tym analizę ustawień konfiguracyjnych sprzętu i aplikacji oraz luki bezpieczeństwa w infrastrukturze sieciowej, a testy penetracyjne pozwolą ocenić stopień trudności dostania się do zasobów wewnętrznych bez upoważnienia. Raport z audytu powinien zawierać ogólną ocenę stanu bezpieczeństwa organizacji, ze szczegółowym określeniem słabych punktów, oraz plan wykorzystania technik zabezpieczeń i wdrożenia polityki bezpieczeństwa.

Decyzja o przeniesieniu ochrony IT w chmurę może się wtedy wydawać bardzo prosta, jednak niezależnie od wielkości firmy konieczne jest dokładne rozpoznanie dostępnych narzędzi bezpieczeństwa i roli, jaką każde z nich odgrywa - to dopiero pozwoli uzyskać zdolność oceny oferty potencjalnego dostawcy SaaS i wynegocjować SLA (Service-Level Agreement), które może zapewnić konieczną ochronę.