První věc, kterou je třeba před implementací udělat, je vytvořit si cloud computing business case. V jeho rámci následně zhodnotíme jeho celkovou výhodnost = úspora provozních výdajů v cloudu (kolik ušetříme oproti standardnímu IT provozu) – investice do nových bezpečnostních opatření – náklady na migraci aplikace do cloudu. Dává smysl ptát se, o jaká nová bezpečnostní opatření půjde, když se o bezpečnost bude starat provozovatel cloudu? Ano, tato otázka je smysluplná.
Zkusme si v rámci analýzy rizik ve fázi identifikace a ohodnocení aktiv, tedy čehokoli, co má pro organizaci hodnotu, položit alespoň následující otázky (v tomto případě jde o informace, které chceme v cloudu zpracovávat). Jaké poškození by organizaci přineslo, kdyby:
1. se data stala veřejnými?
2. k datům získal přístup zaměstnanec poskytovatele cloudu?
3. data byla neoprávněně změněna?
4. data byla po delší dobu nedostupná?
Výše uvedené otázky nás nasměrují k možným rizikům, ze kterých bychom měli získat přehled o tom, co a jak je třeba chránit. K nim je nutné přiřadit bezpečnostní opatření, která jsou poskytována jako součást dané cloudové služby. Vezmeme-li si např. cloudové řešení Google Apps, popisuje bezpečnostní opatření cloudových služeb dokument Security Whitepaper: Google Apps Messaging and Collaboration Products. Ten obsahuje celkové pojetí informační bezpečnosti od její organizace až po daná opatření dle oblastí (personální, fyzická, řízení přístupu, havarijní plánování, dodržování právních předpisů…). K tomu zpravidla přibudou nová bezpečnostní opatření, jež vyplynou z již zmíněné analýzy rizik. Mohou to být například upravené organizační procesy, stanovení konfigurace cloudových služeb, defi nice rolí atd.
Při analýze rizik nesmíme opomenout koncové stanice, obzvláště jedná-li se o mobilní zařízení typu smartphone. Mnoho lidí si stále neuvědomuje, že již nejde jen o pouhé telefony, kde v nejhorším případě přijdeme o kontakty a uložené SMS, ale o plnohodnotné počítače omezené nanejvýše výpočetním výkonem. Jedním z opatření k zajištění jejich bezpečnosti je jejich centrální správa neboli mobile device management.
Poslední věcí, která je podstatná pro správný výběr cloudových služeb, je prokázání shody s definovaným standardem pro systém řízení informační bezpečnosti, např. certifikace na shodu s ISO 27001. V případě poskytování služeb pro státní instituce může být dle zákona např. v USA vyžadována certifikace FISMA.
Využívat výhod cloud computingu lze i bez zbytečných rizik, ale nesmíme zapomínat, že informační bezpečnost by měla být vždy pod kontrolou vlastníka informací, který stanovuje pravidla k jejich ochraně.
Chcete se dozvědět více o řešení, které zvýší produktivitu ve vaší firmě? Potřebujete snížit náklady na firemní informační technologie a jejich údržbu? Využijte služby Google Apps s podporou Ness Technologies!
Autor Robert Malý
PŘEDPLATNÉ
ČLÁNKY DO MAILU