Badanie Cloud Security 2017 Spotlight Report, przeprowadzone na 350000 respondentów pokazało, jak organizacje reagują na zagrożenia bezpieczeństwa w chmurze. Największą barierą przed wejściem w usługi chmurowe jest kwestia bezpieczeństwa (33%). Organizacjom brakuje też zasobów ludzkich, mają problemy z integracją z istniejącymi systemami, obawiają się wycieku danych. Co więc zrobić, by chociażby zminimalizować te ryzyka i spróbować skorzystać z cloud computingu? Badanie pokazało również, że z usług SaaS korzysta 67 % respondentów.

Kto za co odpowiada?

By znaleźć remedium na ryzyka związane – w tym omawianym przypadku ryzyka w Public SaaS – należy, zdaniem Jarosława Stawianego, zacząć od jego identyfikacji. Według eksperta chmura, w porównaniu z tradycyjnymi usługami, redukuje niejako „z automatu” ryzyko, ale w rzeczywistości jest to redukcja ryzyka biznesowego - jeśli organizacja chce wykorzystać dane rozwiązanie dostępne w chmurze, może je sobie przetestować, wykupując dostęp, później zaś podjąć decyzję o wejściu lub wyjściu. Gorzej już, gdy zdefiniujemy ryzyko znacznie szerzej, może się tu okazać, że obiecane złote góry to mit. Pojawiają się wówczas takie kwestie jak wycieki danych, poufność, legalność danych. Kto ponosi odpowiedzialność? „W przypadku rozwiązań chmurowych dostawca odpowiada za fizyczne bezpieczeństwo infrastruktury i platformy, zaś bezpieczeństwo na poziomie aplikacji jest współdzielone między dostawcę a użytkownika SaaS. Po stronie użytkownika leży na przykład odpowiedzialność za bezpieczeństwo danych oraz Security Governance Risk &Compliance” – zaznaczył ekspert ISACA.

Standardy pomogą

Kilka lat temu pojawił się raport ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji) odnośnie ryzyk w chmurze. Wydzielono w nim cztery główne grupy ryzyka: organizacyjno-regulacyjne, techniczne, prawne oraz ryzyka nie specyficzne dla rozwiązań cloud. W tych grupach, jak zauważył Jarosław Stawiany, można zidentyfikować ryzyka, na które może być narażona organizacja korzystająca z publicznej usługi SaaS. Pierwsza z nich to ryzyko uzależnienia od dostawcy. Jeśli dostarczane rozwiązanie nie posiada na przykład zunifikowanego, wystandaryzowanego formatu danych, może się okazać, że przy ich migracji do innego rozwiązania firma będzie zmuszona ponieść koszty za adopcję do nowego formatu. Jak ograniczyć takie ryzyko? „Powinniśmy sobie zagwarantować w umowie, że format danych jest wystandaryzowany, a nie charakterystyczny tylko dla danego dostawcy” – wyjaśniał ekspert.

Kolejny przykład to ryzyko braku dostarczanych usług. „Tu trzeba się zabezpieczyć w ten sposób, że jasno wskazujemy w SLA dostępność i dobrze, abyśmy określili, co rozumiemy pod pojęciem dostępności, że dana sytuacja nie jest winą dostawcy łącza internetowego, ale właśnie dotyczy dostawcy usługi SaaS” – zauważył Jarosław Stawiany.

Według eksperta wiele z ryzyk można minimalizować za pomocą międzynarodowych standardów, jakim na przykład jest International Standard on Assurance and Engagements 3402, potwierdzający odpowiednie kontrole wewnętrzne usługodawcy, między innymi w zakresie bezpieczeństwa informacji, poufności, integralności, dostępności i prywatności danych. Innym zabezpieczeniem braku nadzoru i compliance są standardy ISO. „Możemy odpytać dostawcę, jakie ma wdrożone normy. Jeśli na przykład dostawca dostarczy nam ISO 27001, to będziemy wiedzieć czy miejsce przetwarzania danych jest tym miejscem, w którym chcemy te dane przetwarzać. Inny przykład to ISO 27018” – wyliczał ekspert.

Organizatorzy: Partner główny: Mecenasi: Partnerzy merytoryczni: Wystawcy: Patroni medialni: