Ograniczanie ryzyka w chmurze

Elastyczność, ekspansja i prostota, rozumiana również jako redukcja ryzyka – to czynniki, które budują popularność rozwiązań cloudowych. Czy rzeczywiście wybierając rozwiązania Public SaaS eliminujemy ryzyko? A jeśli nie, to jak to robić – zastanawiał się wspólnie z uczestnikami tegorocznej konferencji SEMAFOR Jarosław Stawiany, Ekspert Zarządzania Organizacją Bezpieczeństwa Teleinformatycznego Orange Polska, ISACA Warsaw Chapter.

Jarosław Stawiany, Ekspert Zarządzania Organizacją Bezpieczeństwa Teleinformatycznego Orange Polska, ISACA Warsaw Chapter.

Badanie Cloud Security 2017 Spotlight Report, przeprowadzone na 350000 respondentów pokazało, jak organizacje reagują na zagrożenia bezpieczeństwa w chmurze. Największą barierą przed wejściem w usługi chmurowe jest kwestia bezpieczeństwa (33%). Organizacjom brakuje też zasobów ludzkich, mają problemy z integracją z istniejącymi systemami, obawiają się wycieku danych. Co więc zrobić, by chociażby zminimalizować te ryzyka i spróbować skorzystać z cloud computingu? Badanie pokazało również, że z usług SaaS korzysta 67 % respondentów.

Kto za co odpowiada?

By znaleźć remedium na ryzyka związane – w tym omawianym przypadku ryzyka w Public SaaS – należy, zdaniem Jarosława Stawianego, zacząć od jego identyfikacji. Według eksperta chmura, w porównaniu z tradycyjnymi usługami, redukuje niejako „z automatu” ryzyko, ale w rzeczywistości jest to redukcja ryzyka biznesowego - jeśli organizacja chce wykorzystać dane rozwiązanie dostępne w chmurze, może je sobie przetestować, wykupując dostęp, później zaś podjąć decyzję o wejściu lub wyjściu. Gorzej już, gdy zdefiniujemy ryzyko znacznie szerzej, może się tu okazać, że obiecane złote góry to mit. Pojawiają się wówczas takie kwestie jak wycieki danych, poufność, legalność danych. Kto ponosi odpowiedzialność? „W przypadku rozwiązań chmurowych dostawca odpowiada za fizyczne bezpieczeństwo infrastruktury i platformy, zaś bezpieczeństwo na poziomie aplikacji jest współdzielone między dostawcę a użytkownika SaaS. Po stronie użytkownika leży na przykład odpowiedzialność za bezpieczeństwo danych oraz Security Governance Risk &Compliance” – zaznaczył ekspert ISACA.

Zobacz również:

  • Globalna społeczność security

Standardy pomogą

Kilka lat temu pojawił się raport ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji) odnośnie ryzyk w chmurze. Wydzielono w nim cztery główne grupy ryzyka: organizacyjno-regulacyjne, techniczne, prawne oraz ryzyka nie specyficzne dla rozwiązań cloud. W tych grupach, jak zauważył Jarosław Stawiany, można zidentyfikować ryzyka, na które może być narażona organizacja korzystająca z publicznej usługi SaaS. Pierwsza z nich to ryzyko uzależnienia od dostawcy. Jeśli dostarczane rozwiązanie nie posiada na przykład zunifikowanego, wystandaryzowanego formatu danych, może się okazać, że przy ich migracji do innego rozwiązania firma będzie zmuszona ponieść koszty za adopcję do nowego formatu. Jak ograniczyć takie ryzyko? „Powinniśmy sobie zagwarantować w umowie, że format danych jest wystandaryzowany, a nie charakterystyczny tylko dla danego dostawcy” – wyjaśniał ekspert.

Kolejny przykład to ryzyko braku dostarczanych usług. „Tu trzeba się zabezpieczyć w ten sposób, że jasno wskazujemy w SLA dostępność i dobrze, abyśmy określili, co rozumiemy pod pojęciem dostępności, że dana sytuacja nie jest winą dostawcy łącza internetowego, ale właśnie dotyczy dostawcy usługi SaaS” – zauważył Jarosław Stawiany.

Według eksperta wiele z ryzyk można minimalizować za pomocą międzynarodowych standardów, jakim na przykład jest International Standard on Assurance and Engagements 3402, potwierdzający odpowiednie kontrole wewnętrzne usługodawcy, między innymi w zakresie bezpieczeństwa informacji, poufności, integralności, dostępności i prywatności danych. Innym zabezpieczeniem braku nadzoru i compliance są standardy ISO. „Możemy odpytać dostawcę, jakie ma wdrożone normy. Jeśli na przykład dostawca dostarczy nam ISO 27001, to będziemy wiedzieć czy miejsce przetwarzania danych jest tym miejscem, w którym chcemy te dane przetwarzać. Inny przykład to ISO 27018” – wyliczał ekspert.

Organizatorzy:
logo ISACA Warsaw logo ISACA Katowice logo ISSA logo CW
Partner główny:
logo Entrust Datacard
Mecenasi:
logo Akamai logo Fortinet logo F-Secure logo InfraData
logo OneTrust logo TrendMicro logo Verint
Partnerzy merytoryczni:
logo Arrow logo Asseco logo Atende logo EMCA
logo Flowmon logo Flowmon logo Infoblox logo KPMG
logo Polish Data Center Association logo PWC logo Quest Dystrybucja logo Quest
logo Symantec logo Vade Secure
Wystawcy:
logo Alstor logo Comparex logo Greeneris logo Integral Solutions
logo Integrated Solutions logo LogicalTrust logo Opswat logo Orange
logo Ramsdata logo Ratels logo Sanas Emea logo Vecto
logo Vertiv
Patroni medialni:
logo Rządowe Centrum Bezpieczeństwa logo Instytut Audytorów Wewnętrznych IIA polska logo niebezpiecznik logo CSA PL
logo ISC2 logo Owasp logo Securak logo Technology Risk
logo Zaufana Trzecia Strona
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200