Bezpieczeństwo danych w chmurze – jak o nie zadbać?

Coraz więcej firm przenosi swoje dane i procesy biznesowe do chmury. Taka decyzja oprócz konkretnych korzyści biznesowych niesie z sobą również elementy ryzyka. o których nie powinno się zapominać.

Rynek cloud computing rośnie w tempie niemal dziesięciokrotnie szybszym od wzrostu gospodarczego.

W ciągu czterech najbliższych lat dostępna w Polsce moc centrów przetwarzania danych ma się podwoić, co wskazuje na rzeczywiste zapotrzebowanie firm na usługi z chmury. Na tej fali entuzjazmu nie wolno jednak zapominać, że każda reorganizacja sposobu działania przedsiębiorstwa niesie różnego rodzaju zagrożenia. Migracja do chmury i decyzja o powierzeniu firmowych danych zewnętrznym podmiotom to zmiana, która wymaga odpowiednich przygotowań i działań dla zapewnienia firmie bezpieczeństwa. Poziom ochrony powinien być tu wprost proporcjonalny do istotności danych przetwarzanych w chmurze.

Bezpieczeństwo danych: Co zależy od firmy, a co od dostawcy usługi?

Bezpieczeństwo informacyjne firmy korzystającej z usług udostępnianych w chmurze to złożone zagadnienie. Na system ochrony danych składa się wiele czynników, z których część zależy wyłącznie od samego przedsiębiorstwa, natomiast część pozostaje pod kontrolą dostawcy usługi. Co jednak istotne, to rozgraniczenie odpowiedzialności nie jest jednolite i w dużej mierze zależy od charakteru i zakresu korzystania z chmury.

Co do zasady dostawca usług z chmury odpowiada za fizyczne zabezpieczenie serwerów i sieci oraz ich ochronę przed atakami z zewnątrz. Gwarantuje również ciągłość działania usługi oraz określony sposób i czas reakcji w wypadku awarii. W przypadku modelu SaaS odpowiada również za utrzymanie i rozwój udostępnianego oprogramowania. Dostawca usługi z chmury może również być odpowiedzialny za generowanie kopii zapasowych plików i danych, tak aby w razie awarii móc odzyskać i przywrócić utracone zasoby.

Po stronie użytkownika z kolei leży organizacja bezpieczeństwa danych przetwarzanych w chmurze oraz troska o to, by procesy i działania pracowników i użytkowników korzystających z usług nie powodowały luk i podatności na incydenty. Firma odpowiada także za działanie i bezpieczeństwo własnych aplikacji i rozwiązań, jeśli funkcjonują one dzięki infrastrukturze z chmury.

Synergia – wybór dostawcy i własna polityka bezpieczeństwa

Dokonując wyboru usługi powinno się oczywiście sprawdzić wiarygodność jej dostawcy. Trzeba natomiast pamiętać, że nawet najlepszy partner nie zagwarantuje pełnego bezpieczeństwa, jeśli po stronie firmy pojawią się zaniedbania czy praktyki narażające firmę na incydenty naruszenia danych. W miarę rozwoju usług z chmury ich dostawcy starają się zapewnić jak najwyższe standardy bezpieczeństwa, ponieważ jest to jeden z kluczowych punktów budowania przez nich przewagi konkurencyjnej. Zatem kluczem do wypracowania szczelnego systemu ochrony danych jest przede wszystkim troska o to, by w działaniach pracowników nie pojawiały się praktyki, które zwiększają podatność firmy na ataki, wyciek lub utratę zasobów informacyjnych.

Bezpieczeństwo w cloud computing wymaga synergii – odpowiedni wybór dostawcy usługi należy uzupełnić ustaleniem i wdrożeniem polityki bezpieczeństwa, która określa w firmie zasady korzystania z oprogramowania i sprzętu.

Na co zwrócić uwagę wybierając dostawcę usług z chmury?

Dla wielu przedsiębiorców ważna jest fizyczna lokalizacja centrum przetwarzania danych. Według badań przeprowadzonych wśród polskich firm, zdecydowana większość z nich (blisko 90%) preferuje korzystanie z ośrodków zlokalizowanych na terenie Polski. Jako strona korzystająca z usługi mamy prawo wiedzieć, w jaki sposób dostawca zabezpiecza serwery, jak zorganizowana jest fizyczna ochrona przed niepowołanym dostępem do naszych danych, czy jakie działania podejmie w wypadku awarii.

Kolejny kryterium wyboru to poziom zabezpieczenia procesu logowania poprzez szyfrowanie (protokół SSL) i dwuetapową autoryzację (hasło uzupełnione dodatkowym kodem dostępu wysyłanym np. przez email lub SMS). Istotną wartością dodaną usługodawcy jest monitorowanie przez niego ruchu w sieci, co pozwala wykryć i informować użytkownika o incydentach, takich jak nieudane próby logowania czy wejście do oprogramowania z nieprzypisanych urządzeń.

Inny ważny element to gwarantowane procedury dostawcy w zakresie tworzenia kopii zapasowych danych, miejsca ich przechowywania oraz odzyskiwania danych w przypadku awarii. Backup co do zasady powinien być zapisywany w innej lokalizacji lub przynajmniej na odrębnych serwerach.

Niekiedy najważniejszym kryterium wyboru dostawcy usługi z chmury są informacje o posiadanych przez niego certyfikatach poświadczających działanie zgodne z normami. Najczęściej spotykane normy w cloud computing to:

• ISO 27001 – System Zarządzania Bezpieczeństwem Informacji. Norma ta szczegółowo określa wymagania dotyczące ustanawiania, wdrażania, utrzymywania, monitorowania i doskonalenia systemu zarządzania bezpieczeństwem informacji w organizacji. Określa ona standardy, jakimi powinno kierować się przedsiębiorstwo, które odpowiada za przetwarzanie danych osobowych, a także zawiera zalecenia dla osób nadzorujących procesy przetwarzania.
• ISO 27018 – norma określa zasady zachowania poufności danych przechowywanych w chmurze w odniesieniu do przepisów o ochronie danych osobowych. Norma ta daje gwarancję, że dane osobowe przechowywane w chmurze nie będą wykorzystywane do celów innych poza tymi, na które udzielona została zgoda.
• ISO 27017 to norma uzupełniająca do ISO 27001 – służy jako standaryzowany kodeks praktyk i wytycznych w celu zapewnienia bezpieczeństwa usług udostępnianych w chmurze.

Opinie innych użytkowników to również dobry element weryfikacji dostawców. Tu warto jednak zwracać uwagę przede wszystkim na merytoryczne kryteria ocen.

Konkretne działania pomagają zwiększyć poziom bezpieczeństwa w chmurze

Gdy już wybierzemy optymalnego dostawcę usługi i mamy pewność, że gwarantuje on wymagany przez nas poziom bezpieczeństwa danych, pozostaje skoncentrować się na zachowaniu uniwersalnych zasad wewnątrz firmy. Warto pamiętać o takich standardowych zasadach, jak tym, by:

1. dla najważniejszych danych przechowywanych w chmurze regularnie tworzyć kopie zapasowe i przechowywać je na własnych nośnikach;
2. stosować jasną politykę zarządzania hasłami dostępu do usług z chmury, jak również do urządzeń, systemów i aplikacji wykorzystywanych w firmie;
3. zabezpieczać urządzenia dostępowe przed złośliwym oprogramowaniem i atakami zewnętrznymi;
4. wdrożyć narzędzia do szyfrowania istotnych i wrażliwych danych przechowywanych w siedzibie firmy;
5. stosować zasadę szyfrowania istotnych i wrażliwych danych przenoszonych do chmury;
6. starać się nie zapisywać danych wrażliwych na urządzeniach dostępowych – smartfonach, notebookach czy osobistych komputerach;
7. unikać korzystania z dostępu do danych istotnych i wrażliwych z wykorzystaniem otwartych sieci Wi-Fi (dostępnych np. w miejscach publicznych);
8. możliwie regularnie przeprowadzać w firmie audyty bezpieczeństwa.