eGospodarka.pl

eGospodarka.plWiadomościGospodarkaRaporty i prognozy › Kto odpowiada za bezpieczeństwo chmury w firmie?

Kto odpowiada za bezpieczeństwo chmury w firmie?

2019-08-22 09:09

Kto odpowiada za bezpieczeństwo chmury w firmie?

Kto odpowiada za bezpieczeństwo chmury w firmie? © Jakub Jirsák - Fotolia.com

Następstwem cyberataku niemal zawsze jest poszukiwanie winnych. Jeśli ofiarą cyberprzestępców padają systemy w infrastrukturze chmurowej, to najczęściej obwinia się dostawcę usługi. W efekcie tego kontrakt z nim jest zrywany, a aplikacje wracają do lokalnej infrastruktury przedsiębiorstwa. Tymczasem kwestia odpowiedzialności nie zawsze jest aż tak prosta i oczywista.

Przeczytaj także: Bezpieczeństwo danych w chmurze cierpi przez ludzkie błędy

Jeśli mamy do czynienia z możliwie najbardziej klarownym scenariuszem, np. gdy w zabezpieczeniach platformy wirtualizacyjnej lub chmurowej dostrzeżona zostaje luka, to wówczas kwestia odpowiedzialności jest rzeczywiście dość oczywista. Tak jednak czy inaczej, z ankiety zrealizowanej niedawno przez agencję IHS Markit dla Fortinet wynika, że w razie pojawienia się problemów jedynie połowa jej respondentów jest w stanie wskazać winowajcę. Równie duży odsetek badanych do odpowiedzialności za cyberzagrożenia obecne w wyższych warstwach (jak np. uporczywe ataki APT) pociąga niesłusznie dostawcę usług. Tymczasem ta kwestia pozostaje w gestii użytkownika.

Co do zasady, ochrona powinna obejmować dwa obszary: podstawową infrastrukturę chmury, nad którą pieczę sprawuje dostawca usługi oraz warstwę składającą się z oprogramowania, danych i aplikacji działających z wykorzystaniem tej infrastruktury (odpowiedzialność konsumentów za ochronę). Podziały te nie zawsze są jednak tak precyzyjne, zwłaszcza gdy wkraczamy w obszary dotyczące platformy i funkcjonalności dostępnej jako usługa (PaaS i FaaS). Dobrą zasadą jest przeprowadzenie konsultacji z osobami posiadającymi wiedzę dotyczącą najlepszych praktyk związanych z wykorzystywanymi usługami w chmurze. I raczej należy też oczekiwać, że ich dostawca zapewni tylko izolowane środowisko pracy.

fot. Jakub Jirsák - Fotolia.com

Kto odpowiada za bezpieczeństwo chmury w firmie?

Ochrona powinna być zapewniana w dwóch obszarach – w podstawowej infrastrukturze chmury (zabezpieczanej przez dostawcę usługi) oraz w warstwie, na którą składa się oprogramowanie, dane i aplikacje działające z wykorzystaniem tej infrastruktury (odpowiedzialność konsumentów za ochronę).


Z chmury do chmury


Kolejnym wyzwaniem jest to, że oprogramowanie, jego funkcje, protokoły i reguły bezpieczeństwa działają w różny sposób na różnych platformach chmur publicznych, prywatnych czy w infrastrukturze fizycznej przedsiębiorstwa. Przenoszenie aplikacji lub usługi z jednego środowiska do drugiego może być proste, ale problem pojawia się przy zapewnieniu im bezpieczeństwa. Wiele rozwiązań ochronnych wymaga znacznej ilości zasobów IT w celu ich ponownego wdrożenia oraz weryfikacji poprawności pracy, szczególnie gdy aplikacje i ich dane systematycznie przepływają między różnymi środowiskami.
- Rozwiązanie tego problemu stanowi wyzwanie i jest czasochłonne. Działania należy zacząć od wyboru jednego dostawcy rozwiązań ochronnych działających we wszystkich rodzajach środowisk – chmurze publicznej i prywatnej, a także infrastrukturze lokalnej – mówi Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. – Muszą też poprawnie funkcjonować w chmurach publicznych od różnych dostawców, aby nie ograniczać klienta, zaś zapewnić mu elastyczność wyboru środowiska IT, w którym chce pracować oraz efektywność migracji aplikacji i danych.

Większa różnorodność to więcej problemów


Migracja firmowych środowisk IT do chmury przez długi czas przebiegała w miarę bezproblemowo, ale dziś widać już, że jej charakter się zmienia. Transfer danych odbywa się dwukierunkowo. Taki stan utrzyma się dość długo, dopóki przedsiębiorstwa nie wypracują najlepszej kombinacji połączenia zasobów chmur publicznych, prywatnych i znajdujących się w lokalnej infrastrukturze do obsługi biznesowych aplikacji i usług. Natomiast nawet gdy to się wydarzy, dalej będzie istniała konieczność zapewnienia możliwości bezpiecznego przesyłania danych pomiędzy różnymi środowiskami.

W czasach, gdy zagrożenia wobec firmowych danych czyhają na każdym kroku, nie można pozwolić sobie na to, aby rozwiązania ochronne były wdrażane wyłącznie w reakcji na zaistniały problem. Ewentualne poniesione straty mogą okazać się zbyt dotkliwe, zdecydowanie większe niż koszt wdrożenia profesjonalnych narzędzi zabezpieczających. Ale nie można też dopuścić do sytuacji, w której w infrastrukturze firmy będzie funkcjonowało zbyt wiele rozwiązań ochronnych. Takie podejście nieuchronnie prowadzi do problemów związanych z utrzymaniem poprawnej konfiguracji środowiska, zapewnieniem aktualizacji poszczególnych systemów, jak też spójnym egzekwowaniu reguł polityki bezpieczeństwa w całej firmie.

Należy przyjąć zintegrowaną strategię ochronną, obejmującą zarówno kwestie organizacyjne (metodyka), operacyjne (narzędzia zabezpieczające) oraz edukacyjne (szkolenia dla personelu uświadamiające charakter działań cyberprzestępców). Tylko w ten sposób możliwe jest zagwarantowanie niezakłóconego funkcjonowania środowiska wielochmurowego, w którym aplikacje i dane swobodnie przesyłane są między centrami danych, w zależności od potrzeb biznesowych przedsiębiorstwa.

oprac. : eGospodarka.pl eGospodarka.pl

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: