Role bezpečnosti v cloudu

Máte data v cloudu? A víte jistě, že tam skutečně jsou – a kdo k nim má přístup? A co komunikace mezi vaší firmou a cloudem – je správně zabezpečená, nebo se k informacím mohou dostat kybernetičtí útočníci? S nástupem cloudu se stále více dostává do popředí bezpečnost dat a informací. Přečtěte si, jaké bezpečnostní politiky a přístupy byste měli dodržet, aby vaše cloudová data byla skutečně v bezpečí.

Cloud dnes vnímáme doma i v kanceláři jako naprostou samozřejmost. Internetové přípojky jsou v současnosti tak robustní, že jako koncoví uživatelé prakticky nepoznáme rozdíl, jestli otevíráme dokument na pevném disku počítače, nebo v cloudovém úložišti vzdáleného datacentra. Z technického hlediska je ten rozdíl velký, a dokonce zásadní z hlediska kybernetické bezpečnosti a bezpečnosti informací.

Rozdělení rolí a zodpovědnosti

O výhodách cloudu jako snížení nákladů, zálohování a dostupnost dat nebo snadné sdílení velkých souborů už jsme psali. Ruku v ruce se zmíněnými výhodami musí jít ale i zodpovědnost. Ta by měla být jasně definovaná v bezpečnostní politice vaší firmy. Ta definuje přístup organizace k zajištění bezpečnosti a deklaruje její cíle v této oblasti.

Pro zákazníky a obchodní partnery je už samotná existence tohoto dokumentu pozitivním signálem svědčícím o určité důvěryhodnosti. Některým organizacím a veřejným institucím zavedení bezpečnostní politiky dokonce ukládá zákon o kybernetické bezpečnosti.

I pokud se mezi tyto subjekty neřadíte, bezpečnost informací byste měli mít podchycenou. Nejde jen o dokumenty pro dokumenty, abyste prošli auditem nebo certifikací. Proč? Dva pádné argumenty:

• celkově je zabezpečeno jen 5 % dat českých firem z hlediska bezpečnosti informací
• lidské selhání je důvodem 95 % úspěšných kybernetických útoků

Firemní cloud používají zaměstnanci firmy – obvykle nejzranitelnější článek ve vaší společnosti. Ke službám přistupují pomocí hesel a certifikátů. Mezi základní bezpečnostní zodpovědnosti a návyky uživatelů by mělo patřit:

• používání silných hesel a zásady bezpečné správy hesel
• uzamykání pracovních stanic během nepřítomnosti
• zodpovědný přístup předběžné obezřetnosti při práci s neověřenými daty (typicky přílohy e-mailových zpráv apod.) a bezpečné chování na internetu
• absolvování bezpečnostních školení s důrazem na výše uvedené, zejména pak na obranu vůči tzv. phishingu

Tip: Přečtěte si o zásadách bezpečné e-mailové komunikace.

Bezpečnost firemních dat, i těch uložených v cloudu, leží tedy z velké části na koncových uživatelích. Určitou část zodpovědnosti za bezpečnost cloudového prostředí přebírá však i provozovatel.

Důvěryhodný cloud

Jaké cloudové prostředí můžeme označit za důvěryhodné? Opět jako v předchozím případě platí, že jde o takový cloud, kde je důsledně řešena bezpečnost a bezpečnostní politika. Trendem poslední doby je postupné přesouvání zabezpečení od formy směrem k poskytovateli cloudových služeb. Tím se dostáváme k jakémusi sdílenému řízení bezpečnosti, které je založeno na důvěryhodném vztahu mezi klientem a poskytovatelem. Klient musí mít:

• plnou důvěru v poskytovatele cloudu a
• možnost monitoringu dat, procesů a událostí v cloudu.

Co musí splňovat důvěryhodný cloud?

Zásadní roli v dodržování bezpečnostních zásad hrají autentizační služby a „information-centric“ bezpečnost. Co si pod tím představit?

• Autentizace – pokud chcete provozovat nebo provozujete v cloudu podnikové aplikace (např. účetní systémy, CRM nebo ERP systémy), používejte vícefaktorovou autentizaci, „risk-based“ autentizaci a delegované identity.
• Separace dat – cloudový poskytovatel by měl nabízet možnost izolaci dat od jiných nájemců cloudu pomocí virtualizace, šifrování a granulárního řízení. Tyto prostředky zabezpečení do určité míry představují ekvivalent podnikového fyzického zabezpečení přístupu k HW infrastruktuře.
• Klasifikace dat – v oblasti klasifikace dat z hlediska bezpečnosti informací pomohou DLP systémy pro vyhledávání a ochranu citlivých dat.
• Monitoring dat – cloudové prostředí by mělo být pravidelně monitorováno a v případě citlivých informací i auditováno. Vhodné jsou aplikace řízení podnikových procesů a rizik.
• Bezpečná HW architektura a infrastruktura – cloud by měl být už v základu navržen a sestaven z bezpečných komponentů.

Jak ověřím, že je cloud důvěryhodný?

Poskytovatel cloudu by vám měl kdykoliv umožnit monitoring vašich dat. O důvěryhodnosti cloudu z hlediska kybernetické bezpečnosti potom hovoří dobré reference a standardy poskytovatele, např. klasifikace TIER III a certifikace bezpečnosti informací ISO 27001. Ozvěte se nám, sdělíme vám další informace o zabezpečení nejen našeho cloudu. A pokud máte stejně jako my bezpečnost informací na prvním místě, provedeme i audit kybernetické bezpečnosti ve vaší firmě.