Ochrona danych w chmurze kluczowa dla firm

Przeczytaj także: Nie bądź Jennifer Lawrence: 7 porad jak chronić dane w chmurze

Procedury i ludzie u dostawcy rozwiązania

Wiele firm myśląc o bezpieczeństwie danych, często pomija ryzyko związane ze zwykłym błędem ludzkim. Zaniedbania pracowników w tym zakresie są często nieświadome, jednak ich konsekwencje mogą być naprawdę poważne. Spójrzmy na takie działania jak pozostawienie laptopa bez nadzoru, brak stosowania bezpiecznych haseł, używanie nieszyfrowanych nośników typu pendrive, czy zabieranie danych firmowych na pendrive do domu i praca w niezabezpieczonej sieci. W organizacjach z odpowiednimi procedurami bezpieczeństwa i przeszkolonym personelem takie zaniedbania nie są możliwe.

Dlatego decydując się na rozwiązania chmurowe upewnijmy się, że dostawca ma wdrożone odpowiednie procedury i dobrze przeszkolony personel. Dobrym gwarantem powinna być np. wdrożona norma ISO 2700. To międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji w przedsiębiorstwie. Jej wdrożenie obliguje firmy do stworzenia systemowego podejścia do zarządzania bezpieczeństwem informacji i tym samym ochrony danych powierzonych przez klientów. Roczne audyty wymuszane przez normę pilnują, żeby standardy świadczenia usług były coraz wyższe, a poziom realnego ryzyka sukcesywnie obniżany.

Procedury i ludzie u nas

Pamiętajmy jednak, że nikt nie zabezpieczy naszych danych lepiej niż my sami. Zadbajmy o to, aby odpowiednie standardy bezpieczeństwa zostały wdrożone także w naszej organizacji, aby personel obchodził się z informacjami świadomie, a także był regularnie szkolony. Regularne szkolenie są o tyle ważne, że w dzisiejszym świecie praktycznie każdego dnia może pojawić nowy trend, który przyniesie kolejne ryzyka w zakresie bezpieczeństwa. BYOD, czyli używanie tych samych platform i narzędzi do wymiany plików w domu i w pracy to zjawiska na porządku dziennym w dzisiejszej rzeczywistości biznesowej. Tymczasem zgodnie z badaniem przeprowadzonym przez Oracle w 700 przedsiębiorstwach europejskich, aż 44% firm odczuwa dziś niechęć do zjawiska BYOD lub zezwala na jego wdrożenie jedynie w wyjątkowych okolicznościach. A to błąd, bo brak uregulowania tych kwestii w polityce bezpieczeństwa firmy oznacza, że każdy pracownik będzie stosowała swoje własne zasady. Raporty firmy Coalfire nie pozostawiają złudzeń na jakie ryzyko narażamy firmę: 47% pracowników przyznaje, że nie stosuje ochrony hasłem na swoich telefonach komórkowych, podczas gdy 84% z nich używa tych urządzeń do celów służbowych - w przypadku tabletów ten odsetek wynosi 42%. Co ciekawe36% osób przyznaje, że wielokrotnie używa to samo hasła, a aż 60% wciąż zapisuje hasła na kartce papieru!

Ciągłość działania i bezpieczeństwo fizyczne

Zgodnie z definicją Aleksandry Porębskiej, Dyrektora IT w FORDATA „Wdrożenie i zarządzanie ciągłością działania ma na celu zapewnienie wszystkim interesariuszom – klientom, regulatorom i udziałowcom – że w razie awarii przywrócenie krytycznych funkcji biznesowych, realizowanych przez organizację nastąpi w znanym, możliwie najkrótszym czasie, i przy określonym poziomie utraty danych”. Wybierając dostawcę upewnijmy się, że także w tym obszarze posiada on odpowiednie standardy. Absolutne minimum, które powinien posiadać to plan zachowania ciągłości, plan odtwarzania systemu, współpraca z dwiema niezależnymi serwerowniami, czy regularne wykonywanie kopii zapasowych danych. Liczy się także sposób, w jaki fizycznie chronione są serwery. W naszym interesie jest sprawdzić gdzie znajduje się serwerownia i jakie mechanizmy bezpieczeństwa stosuje dostawca. Czy pomieszczenia serwerowni zabezpieczone są przed pożarem i innymi kataklizmami, czy mają odpowiednie systemy chłodzenia, zapewniony dostęp do alternatywnych przyłączy energetycznych oraz systemów zasilania awaryjnego, a także możliwość korzystania z infrastruktury kilku niezależnych operatorów telekomunikacyjnych.