Cloud computing a bezpieczeństwo danych

Przeczytaj także: Nowe technologie a bezpieczeństwo informacji

W przypadku większości organizacji różne grupy pracowników oceniają dostawców rozwiązań w „chmurze”.

Aż 68 procent ankietowanych wskazało, że odpowiedzialność za ocenę dostawców takich usług spoczywa na użytkownikach i kadrze kierowniczej. Zaledwie 20 procent uczestników badania potwierdziło, że firmowe zespoły odpowiedzialne za bezpieczeństwo danych regularnie biorą udział w procesie podejmowania decyzji, a około 25% respondentów stwierdziła, że nigdy nie brała udziału w takich działaniach. Mimo to, 69 procent ankietowanych wskazało, że zespoły odpowiedzialne za ochronę danych lub działy IT powinny podejmować decyzje w zakresie wdrażania rozproszonych systemów obliczeniowych.

Wyniki ankiety potwierdzają, że pracownicy podejmują decyzje bez konsultacji z działami IT lub bez pełnej wiedzy na temat zagrożeń bezpieczeństwa. Tylko 30 procent respondentów ocenia dostawców usług w modelu cloud przed zainstalowaniem ich produktów.

Dodatkowe wyniki ankiety:

• Działy informatyczne oceniają usługi w modelu „cloud” na podstawie zasłyszanych opinii (65 procent) oraz umów i gwarancji producentów (odpowiednio 55 i 53 procent). Zaledwie 23 procent firm wymaga od dostawców potwierdzeń zgodności zabezpieczeń z przepisami, takimi jak SAS 70. Co więcej, 18 procent respondentów polega na własnych ocenach zabezpieczeń, a zaledwie 6 procent korzysta z ocen dokonywanych przez specjalistów lub audytorów.
• Według 75 procent ankietowanych migracja do rozwiązań w modelu „cloud computing” nie została zrealizowana optymalnie ze względu na brak kontroli nad użytkownikami końcowymi. Inne przyczyny takiej sytuacji to brak zasobów niezbędnych do przeprowadzenia prawidłowej analizy, brak nadzoru nad całym procesem oraz niski priorytet procesu ewaluacji.
• Tylko 19 procent respondentów podało, że ich firmy organizują szkolenia w zakresie ogólnych zabezpieczeń danych w aplikacjach rozproszonych. Co więcej, 42 procent badanych potwierdziło, że ich firmy prowadzą szkolenia nt. bezpieczeństwa danych, jednak nie obejmują one usług w modelu „cloud computing”.

Zalecenia:

• Polityki bezpieczeństwa i procedury powinny jednoznacznie wskazywać na rolę ochrony istotnych danych przechowywanych w „chmurze”. Przyjęta polityka powinna precyzyjnie określać, jakie informacje są uznawane za ważne i zastrzeżone.
• Przedsiębiorstwa powinny wdrożyć strategię kontroli danych, obejmującą narzędzia i procedury klasyfikacji informacji. Firmy powinny również poznać zagrożenia, aby można było zastosować reguły definiujące, które usługi i aplikacje w modelu „cloud” są odpowiednie, a które nie powinny być stosowane.
• Przed udostępnieniem ważnych lub poufnych informacji należy ocenić zagrożenia związane z innymi podmiotami. W ramach tej procedury dział informatyczny oraz specjaliści ds. bezpieczeństwa danych powinni przeprowadzić szczegółową analizę i audyt kwalifikacji dostawcy zabezpieczeń.
• Przed wdrożeniem technologii w modelu „cloud computing” firmy powinny oficjalnie przeszkolić pracowników w jaki sposób unikać zagrożeń bezpieczeństwa oraz skutecznie chronić ważne i poufne informacje.

Informacje o badaniu
Ankieta „Governance in the Cloud: A Study of IT Practitioners” została przeprowadzona wśród 637 kierowników IT w średnich i dużych firmach amerykańskich (1000–25 000 pracowników), które wdrożyły platformy w modelu „cloud computing”.