Wirtualne bezpieczeństwo, czyli jak zabezpieczyć dane w chmurze?

Już ponad 80% światowych firm przechowuje swoje dane w chmurze. Pomimo tej ogromnej liczby użytkowników, wiele firm nadal uznaje cloud computing za rozwiązanie bardziej ryzykowne od tradycyjnych metod utrzymania rozwiązań IT. Jaka jest tego przyczyna?

Powodem opinii, o tym, że przechowywanie danych w chmurze może być ryzykowne, jest kilka poważnych incydentów relacjonowanych przez media. Najbardziej dobitnym przykładem było włamanie do serwisów firmy Sony PlayStation. Hakerzy zaatakowali m.in. serwis PlayStation Network. Atak ten zaburzył dostępność usług. Wykradzione zostały również dane użytkowników: imiona i nazwiska, adresy zamieszkania, adresy e-mail, daty urodzenia, loginy oraz hasła. Firma Sony nie znalazła dowodów na kradzież danych kart kredytowych, ale „nie wykluczyła takiej możliwości”. Doradzała wszystkim użytkownikom monitoring zdarzeń na kontach bankowych oraz zmianę haseł dostępu do serwisu.

Jak więc skutecznie zabezpieczyć firmę przed ryzykiem utraty danych przechowywanych w chmurze? Poniżej przedstawiamy kilka wskazówek:

1. Zrób szczegółową inwentaryzację zasobów IT

Wynikiem tego działania powinien być nie tylko wykaz posiadanych rozwiązań, ale także pokazanie zależności pomiędzy nimi. Tylko dokładna analiza wszystkich zasobów IT pozwala na ocenę, z jakim ryzykiem wiąże się przeniesienie części z nich do chmury. Ryzyko to ma kilka wymiarów. Może wiązać się z utratą ciągłości działania w wyniku okresowej utraty dostępu do danych lub ich straty. Może też być związane z naruszeniem obowiązujących przepisów prawa na skutek kradzieży lub utraty danych.

2. Podziel zasoby informatyczne na trzy kategorie

Migracja do chmury to długofalowy proces. Dlatego warto podzielić wszystkie rozwiązania IT na trzy kategorie: podstawowe, a więc wspomagające codzienną działalność, wrażliwe i krytyczne. Te pierwsze mogą podlegać w miarę swobodnej migracji w chmurę. Te drugie powinny być przechowywane jedynie w chmurze prywatnej, kontrolowanej przez właściciela danych. Ostatnia kategoria może być przechowywana i przetwarzana w chmurze jedynie w przypadku zapewnienia dedykowanych środków ostrożności.

Prawidłowe fizyczne zabezpieczenie środowiska, w którym przechowywane są dane, powinno uwzględniać:

kontrolę dostępu za pomocą wielopoziomowej weryfikacji zabezpieczeń;
segregację logiczną usług;
uwierzytelnianie i zaszyfrowanie komunikacji ułatwiającej identyfikację uczestników procesu oraz ochronę przed manipulacją wiadomościami;
ochronę przed złośliwym oprogramowaniem (malware) przez wdrożenie wielowarstwowego oprogramowania antywirusowego w systemach operacyjnych serwerów, systemach wiadomości;
wprowadzenie specjalnych interfejsów użytkownika z konfiguracją ustawień bezpieczeństwa, które mogą być poddawane filtrowaniu wg uprawnień grupowych;
wielopoziomową administrację;
regularną kontrolę środowiska aplikacyjnego i sprzętowego pod kątem bezpieczeństwa.

3. Oszacuj poziom ryzyka związanego z kulturą pracy z danymi i dostosuj zasady bezpieczeństwa do nowego modelu korzystania z rozwiązań IT

W przypadku rozwiązań w chmurze, jednym z podstawowych czynników ryzyka jest niska świadomość zagrożeń teleinformatycznych wśród pracowników. Jest to część szerszego problemu związanego z jakością pracy z danymi. Dobrze zaimplementowana polityka bezpieczeństwa może zniwelować przynajmniej część tych braków, np. poprzez systemowe wymuszenie zmiany haseł, centralnie zarządzany dostęp, czy stały monitoring i analizę niebezpiecznych zdarzeń z udziałem użytkowników systemów. Wszystkie te zagadnienia muszą być przeanalizowane i uwzględnione w polityce bezpieczeństwa przed wdrożeniem rozwiązań cloud computing.

4. Znajdź odpowiednie wsparcie

Obawy przed korzystaniem z cloud computing może zmniejszyć odpowiednio skonstruowana umowa SLA (Service Level Agreement). Precyzyjnie określa ona poziom jakości usług świadczonych w chmurze. Ważnym jest również, by dostawca usługi działał zgodnie z normami ISO, np. 27001. Norma ISO 27001 oparta jest na podejściu procesowym. Wykorzystuje model Planuj – Wykonuj – Sprawdzaj – Działaj. Definiuje szczegółowo wymagania związane z ustanowieniem i zarządzaniem Systemem Zarządzania Bezpieczeństwem Informacji. Określa wymaganą dokumentację, odpowiedzialność kierownictwa, sposoby realizacji wewnętrznych audytów oraz ciągłego doskonalenia całego systemu. Zaletą ISO 27001 jest kompleksowe podejście do bezpieczeństwa informacji, uwzględniające bezpieczeństwo fizyczne, osobowe, teleinformatyczne oraz prawne.

Wskazówka

W obliczu zmiany modelu korzystania z zasobów IT warto zrewidować dotychczas obowiązujące polityki bezpieczeństwa. Migracja do chmury jest na to idealnym momentem.