Nie brońmy się przed chmurą

Mając świadomość zagrożeń związanych z chmurami publicznymi, IT bywa niechętne wykorzystaniu tych usług w organizacjach. Taka postawa grozi jednak eskalacją zagrożeń, ponieważ biznes bywa skłonny do ignorowania zakazu i potrafi samodzielnie zapewnić sobie do nich dostęp.

Jeszcze nie tak dawno cloud computing majaczył gdzieś na horyzoncie. Jedynie raporty analityków wieszczyły, że wkrótce wejdzie do głównego nurtu. Według ankiet przeprowadzanych przez jedną z firm badawczych, Ernst & Young, w 2010 roku ok. 30 procent ankietowanych odpowiedziało, że używa bądź zamierz używać usług chmurowych. Roku później było to już 44 procent, a w 2012 roku nastąpił punkt zwrotny – aż 60 procent udzieliło takich odpowiedzi. Jednocześnie aż 38 procent respondentów stwierdziło, że nie podjęło żadnych działań w celu ograniczenia ryzyka związanego z korzystaniem z usług cloud computingu. Ta technologia zdobywała rynek szybciej niż użytkownicy byli w stanie zapewnić jej bezpieczeństwo. Z kolei ostatnie raporty Forrester Research wskazują, że 73 badanych firma w Europie i Ameryce Północnej uważa bezpieczeństwo za najistotniejszą kwestię rozważaną w kontekście cloudu.

Gdzie tkwi problem?

Jedną z pierwszych zasad poprawy bezpieczeństwa informacji jest zachowanie kontroli nad własnym środowiskiem. Dlatego informatycy nie czują się komfortowo, jeśli mają przenieść dane czy inne zasoby IT do chmury publicznej. Nawet, jeśli takie podejście jest najlepszą odpowiedzią na rosnącą złożoność kwestii bezpieczeństwa i zachowania prywatności. Zamiast stać się koszmarem bezpieczeństwa, platformy chmurowe mogą dawać podstawy do stworzenia bezpiecznego środowiska IT, poprzez wzmocnienie kontroli i lepsze mechanizmy ochrony informacji.

Zobacz również:

Większość organizacji korzysta już lub przynajmniej zamierza używać chmury. Niezależnie, czy CIO jest tego świadomy, korporacyjne dane i granice firmowych zasobów IT mogą być już w chmurze. Zdarza się bowiem, że działy biznesowe współpracują bezpośrednio z dostawcami usług typu cloud bez wcześniejszej konsultacji z IT. To powszechnie budzi obawy o bezpieczeństwo danych przesyłanych przez sieć publiczną (Internet). Szereg wątpliwości natury prawnej pojawia się, gdy dane przekraczają granice państw. W przypadku Polski ten problem nabiera większego znaczenia dopiero w przypadku wyjścia poza obszar Unii Europejskiej. Do zastanowienia skłania również kwestia współdzielenia zasobów chmury przez wiele organizacji.

Niestety, obawy wyrażane przez działy IT i chęć zachowania fizycznej kontroli nad środowiskiem mogą tylko dodatkowo zwiększyć ryzyko, zamiast je zmniejszyć. Jeśli biznes chce korzystać z chmury, a usłyszy od informatyków „nie”, może zająć się sprawą na własną rękę. Dostęp do rozwiązań chmurowych jest bardzo łatwy – wystarczy kilkanaście minut na założenie konta. Nie ma więc większego problemu z obejściem sprzeciwu wobec korzystania z nich. W efekcie usługi chmurowe w ogóle będą poza obszarem obsługiwanym przez firmowe IT. Dlatego, zamiast mówić “nie”, należy powiedzieć “tak”, ale w taki sposób, który doda wartość biznesową i pozwolić ograniczyć ryzyko. Wspólnie można opracować rozwiązanie, które pozwoli na stworzenie bezpiecznego, zaufanego, poddanego audytom środowiska.

Natomiast brak chęci współpracy w tym obszarze ze strony kierownictwa IT prowadzi do rozkwitu informatycznej “szarej strefy” i spadku wpływów IT wewnątrz organizacji. Tymczasem z badania przeprowadzonego w zeszłym roku przez Ernst & Young wynika, że tylko w 17 % firm reguły bezpieczeństwa informatycznego są dostosowane do potrzeb biznesu i nie blokują jego rozwoju. Na ryzyko narażone są nawet organizacje, które już korzystają z chmury. Często jest bowiem luka między tym, jakie zabezpieczenia zostały wdrożone, a jakie powinny być.

Rozwiązanie

Blokowanie dostępu do usług chmurowych nie jest dobrym pomysłem. Zamiast tego IT powinno skupić się na budowaniu środowiska, które spełni kilka warunków. Po pierwsze, będzie bezpieczne, zapewniając kontrolę nad dostępność i spójnością systemów oraz danych przechowywanych w chmurze. Należy wdrożyć odpowiednie procedury i środki techniczne do zabezpieczenia danych podczas przesyłania ich między chmurą a lokalną siecią firmową.

Po drugie, musi się cechować ciągłością biznesową, co realizuje się poprzez wdrożenie mechanizmów wysokiej dostępności i przywracania po awarii. Po trzecie, powinno przejść audyty potwierdzające zgodność z regulacjami prawnymi czy normami certyfikacyjnymi. Dla procedur i zabezpieczeń należy przygotować dokumentację, którą można zweryfikować pod kątem spełnienia wymogów prawnych.

Aby zrealizować te trzy założenia, należy podjąć działania w kilku obszarach. Pierwszym są kwestie organizacyjne. Należy ustalić zadania i zakres odpowiedzialności związany z usługami chmurowymi i regularnie szkolić w tym obszarze pracowników. Drugi to technologia. Działy IT powinny projektować aplikacje zgodnie z branżowymi standardami, szyfrujące dane i pozwalające na kontrolę dostępu. Trzeci obszar to informacja, który wymaga inwentaryzacji i klasyfikacji danych. Należy ustalić ich właścicieli oraz usunąć dane, które nie są już potrzebne. Czwarty obszar to zapewnienie ciągłości biznesowej, w ramach którego należy prowadzić regularne testy, zarządzać zmianami i prowadzić dokumentację dotyczącą zabezpieczeń. Piąty obszar to audyty i zgodność z regulacjami. Organizacje powinny planować i przeprowadzać audyty w sposób jak najmniej zakłócający działalność biznesową. Ostatnim obszarem jest zarządzanie. Związane z nim procesy powinny być skalowalne, powtarzalne, mierzalne i należy jest stale udoskonalać.


TOP 200