Bezpieczeństwo krytycznych danych

Przeczytaj także: Symantec: ochrona danych w sektorze MŚP w 2013

Blokadę wszelkich operacji dokonywanych na zbiorach danych, włącznie z utrwalaniem, przechowywaniem czy udostępnianiem ze szczególnym uwzględnieniem działań wykonywanych w systemach informatycznych. Jakie może to oznaczać konsekwencje? Dla znakomitej większości firm stanowi to krytyczne utrudnienie w prowadzeniu dalszej działalności. W przypadku biznesu e-commerce, który całą swoją komunikację z klientem i transakcje realizuje w środowisku sieciowym, w najlepszym układzie stanowi to zamrożenie aktywności na określony czas z konsekwencją trudnych do oszacowania strat finansowych, a w tym najgorszym i pewnie najczęstszym scenariuszu – upadłość.

Informacje poufne o innym charakterze

Prowadzenie działalności oznacza nie tylko dostęp do danych osobowych, ale także informacji o charakterze poufnym identyfikujących inne jednostki uczestniczące w obrocie gospodarczym. Jeśli przedsiębiorca jest w posiadaniu takiego zasobu zobowiązany jest do jego zabezpieczenia, nawet jeśli nie reguluje tego jednoznacznie relacja prawna między nim, a drugim podmiotem. Jak podaje Lapierre - Częstą obecnie praktyką jest konstruowanie umów handlowych z uwzględnieniem formuły zobowiązującej strony do utrzymania w poufności wszelkich danych dotyczących treści umowy, z konsekwencją jej rozwiązania bądź kary umownej w sytuacji naruszeń. Brak zastrzeżenia klauzuli poufności nie zwalnia jednak przedsiębiorcy z ochrony informacji wrażliwych dla drugiej firmy. Tajemnicą objęte są wszelkie dane niejawne przedsiębiorstwa posiadające wartość gospodarczą, które jego właściciel zabezpieczył przed dostępem publicznym. Ich ujawnienie, wykorzystanie lub nieautoryzowane pozyskanie z następstwem zagrożenia bądź naruszenia interesu firmy, jest uznawane w mocy prawa za czyn nieuczciwej konkurencji. Do naruszeń tajemnicy przedsiębiorstwa często dochodzi w nieświadomości ich popełnienia, dlatego ważne jest odpowiednie zabezpieczanie takich informacji także przed ich nieumyślnym upowszechnieniem czy przekazywaniem.

Dane w chmurze

Zasadniczym walorem przetwarzania w chmurze i wirtualizacji zasobów jest możliwość konsolidacji infrastruktury. Środowisko to jednak wymaga bardziej wyrafinowanych trybów zabezpieczeń i zarządzania tożsamością. Nie dziwi więc fakt, że powierzenie danych zewnętrznemu partnerowi jest decyzją rozważaną z dużą drobiazgowością i obawami. Wśród danych bowiem przekazywanych dostawcy znajdują się często informacje o wysokim stopniu poufności, w tym dane osobowe klientów firmy, które przenikając do konkurencji, mogą oznaczać krytyczną stratę najczęściej nie do zrekompensowania. Ostrożność jest więc uzasadniona. Ochronę informacji o wysokim wskaźniku wrażliwości przechowywanych w chmurze, regulują jednak bardzo restrykcyjne procedury.

Jak zweryfikować bezpieczeństwo outsourcingu?

Pierwszym działaniem w tym kierunku powinno być potwierdzenie czy system dostarczany w chmurze jest w pełni zwirtualizowany i przekazywany do użytku w konfiguracji multi-instant. Zapewnia ona każdemu użytkownikowi cloudu dostęp do autonomicznej instancji tworzonej na serwerze systemowym, podnosząc w ten sposób poziom zabezpieczenia danych i przy tym, redukując koszty współpracy. Inny model dostarcza mniej zaawansowana technologicznie architektura multi-tenant. Formuła tego rozwiązania zakłada współużytkowanie jednego systemu przez wielu odbiorców usługi. Struktura ta jednak ma mniejsze zdolności integracyjne, dlatego nie rekomenduje się jej do obsługi przedsiębiorstw o restrykcyjnej polityce bezpieczeństwa.

Poziom zabezpieczeń danych o najwyższym priorytecie poufności może być zwiększany przy wykorzystaniu rozbudowanego modelu chmury zapewniającego klientowi dostęp do szafy serwerowej, jej wyodrębnionej powierzchni albo sali kolokacyjnej. Oznacza to, że umieszczona tam infrastruktura jest w wyłącznym posiadaniu klienta, a administrowanie nią leży w obowiązku dostawcy. Podniesienie progu ochrony danych wiąże się więc z koniecznością wykluczenia usług w chmurze publicznej, która zakłada eksploatację tego samego zestawu zasobów obliczeniowych przez kilku użytkowników. W tym modelu infrastruktura chmury dzielona jest na szeroką skalę.