Workline - portál práce online, komunikace online a práce z domova

Bezpečnost dat v cloudu

Internetový seminář

Jak začít pořádat webináře 

Získáte praktické informace, jak přímo od specialistů na online akce.

Více informací >

Napsal: David Skála        Datum: 26. 7. 2012

 

 

Problematika cloud computingu je v posledních letech zmiňována stále častěji. V situaci ovlivněné horšícím se ekonomickým prostředím jsou firmy nuceny zamýšlet se nad efektivitou vynakládaných prostředků a fungováním firemních procesů. Technologie virtualizace použité v systémech cloud computingu umožňují nejen lepší využití HW zdrojů, ale také možnost pořídit si nové služby, které by byly vzhledem k velikosti a rozsahu zdrojů pro firmu klasickým způsobem nedostupné. Účastníci kulatého stolu, který proběhl na podzim 2011 v Bruselu se shodli, že využití cloudu přinese malým a středním firmám v rámci EU úsporu ve výši 1,2 mld. EUR.

 


 

 

Z průzkumů mezi firmami vyplývá, že firmy pohlížejí na cloud computing jako na jeden z nejdůležitějších faktorů, které do budoucna ovlivní podnikání. Stejně tak si ale uvědomují rostoucí bezpečnostní rizika spojená s využíváním internetu a rychlým vývojem technologií.

  

 

Co je to cloud computing

  

Cloud computing je na internetu založený model vývoje a používaní počítačových technologií. Lze ho také charakterizovat jako poskytování služeb či programů uložených na serverech na internetu s tím, že uživatelé k nim mohou přistupovat například pomocí webového prohlížeče nebo klienta dané aplikace a používat je prakticky odkudkoliv. (Wikipedia.org)

 

Cloud computing je obecným výrazem pro vše co zahrnuje poskytování hostovaných služeb prostřednictvím internetu. Tyto služby jsou rozděleny do tří kategorií a to: infrastruktura jako služba (IaaS), platforma jako služba (PaaS) a software jako služba (SaaS). (TechTarget.com)

 

 

 

Cloudové řešení může být veřejné nebo soukromé. Veřejný cloud je standardizovaným řešením, které poskytuje služby komukoliv na internetu. Nejčastěji jde o emailové služby, on-line kanceláře, úložiště dat. Mohou to být služby velkých poskytovatelů, jako jsou Google, Microsoft, Amazon. Soukromý cloud je tvořen vlastní sítí nebo datovým centrem, které poskytuje hostované služby omezenému počtu uživatelů. Rozsah poskytovaných služeb a uložení dat je nastaveno pro potřeby konkrétního zákazníka a systém je pod jeho dohledem. Toto řešení je vhodné pro správu kritických firemních dat např. údaje z platebních karet.

 

Třetí možností je ještě hybridní řešení, které kombinuje jak veřejné, tak soukromé cloudové služby. Výhodou může být dostupnost dodatečných služeb nebo lepší ekonomické parametry celého řešení. Celý systém se pak navenek tváří jako jednotné řešení.

 

 

Charakteristickými vlastnostmi a v mnohých případech i výhodami nasazení cloudových řešení jsou:

 

  • Sdílení prostředků s více uživateli - což na jednu stranu vede k efektivnímu využití HW vybavení s využitím virtualizace, kdy se při běžném používání vytížení infrastruktury může pohybovat v rozmezí 10 - 15%. Takové řešení je pak z ekonomického a ekologického hlediska mnohem přijatelnější.  Na druhou stranu sdílení prostředků vyvolává obavy z bezpečnosti uložení zákazníkových dat někde “na hromadě” se všemi ostatními.
  • Vysoká škálovatelnost a elasticita řešení - tato vlastnost představuje velkou výhodu při vykrývání vysokých nároků na výpočetní výkon požadovaný zákazníkem a možnost řešení přizpůsobit se velikost organizace. Pokud se totiž vyskytne požadavek na zvýšení počtu uživatelů/zaměstnanců, stačí jen objednat další licence a téměř okamžitě je možné firmu rozšířit. Funguje to však i opačně v případě zmenšení nebo rozdělení organizace.
  • Platby podle rozsahu využití - úhrada za využívání služeb je závislá na skutečném objemu využití. Pokud jsou předmětem úhrady licence, platí se jen za konkrétní počet založených uživatelů, pokud jsou to data nebo využitý strojový čas, platí se jen za jeho spotřebovanou část.
  • Způsob správy a aktuálnost systémů - HW a softwarové vybavení je pod správou provozovatele a tak je průběžně, centralizovaně, automaticky aktualizováno. Uživatel se již nemusí starat o údržbu systému a zaměřuje se výhradně na obsah a práci s daty.
  • Přístup přes internet - vzhledem k tomu, že jsou datová centra a systémy umístěny na vzdálených místech, veškerá komunikace je zajištěna prostřednictvím internetu. To přináší výhodu, že uživatelé se mohou připojit ke svým službám odkudkoliv na celém světě.

 

 

Rizika provozování cloudových řešení

 

Přesto, že cloudová řešení představují jasné přínosy, představují také určitou hrozbu. Přenechání provozování služeb jiné osobně představuje pro mnohé sázku do loterie. Zvláště pokud byli zvyklí dohlížet a řídit kritické oblasti jako je bezpečnost a výkon systémů. Bezpečnost je dnes hlavní výzvou napříč cloudovými řešeními.

 

Z průzkumu společnosti KPMG (Clarity in the Cloud 2011) vyplývá, že:

 

  • 44 % dotázaných společností považuje za největší překážku zavedení cloudových technologií bezpečnost,
  • 29 % dostatečnou výkonnost systému,
  • 20 % problémy s integrací cloudu do současných systémů,
  • 18 % nedostatečný dohled nad IT systémy,
  • 16 % ztráta plné kontroly nad daty s ohledem na zájmy zákazníků.

 

Obecně mohou být v oblasti rizik informačních systémů definovány následující zdroje rizika. Tabulka srovnává cloudové řešení s klasickým modelem - tedy provozováním systémů na vlastním HW v rámci firmy.

 

Klasický model Zdroje rizik Cloudové řešení
??? Výpadky díky přetížení Dynamické přizpůsobení potřebného výkonu
Data jsou pod dohledem majitele Problémy s utajením ? Může být řešeno šifrováním dat
??? Ztráta / krádež hardwaru Data jsou chráněna v centrálním úložišti
??? Problém s dostupností / porucha serverů / ztráta dat Oddělené redundantní systémy
Místo uložení je známé a v souladu s legislativou Problémy se shodou kvůli oddělenému uložení dat ? Úložiště lze smluvně stanovit na konkrétní místo
??? Problémy správy softwaru Automatické a trvalé aktualizace
Nemusí být vždy možné určit viníka škody Otázky záruk v případě problémů ? Záruky jsou jasně stanoveny
??? Virová hrozba Vysoce efektivní antivirová ochrana
??? Útoky z internetu Komplexní řešení bezpečnosti s bezpečnostními týmy 24/7

 

??? - riziko záleží na konkrétních bezpečnostních opatřeních společnosti
? - může být upraveno podle konkrétních požadavků společnosti
Zdroj:
T-Systems Czech Republic

 

 

  • Výpadky díky přetížení - u klasického řešení založeného na vlastních serverech je výkonnost systému předem jasně vymezena, pokud se systém přiblíží k hranicím své výkonnosti, s největší pravděpodobností nastanou výpadky způsobené přetížením. Cloudové řešení je v tomto ohledu mnohem flexibilnější a disponuje dostatečnou výkonnostní rezervou.
  • Problémy s utajením dat - majitel dat má u klasického konceptu jasný přehled o tom, kdo k datům přistupuje, sám nastavuje úroveň ochrany dat. U cloudobého řešení, je to již otázkou důvěry a případného zašifrování dat.
  • Ztráta/krádež hardwaru - s rostoucím počtem mobilních zařízení (notebooky, smartphony) i s použitím např. USB disků roste pravděpodobnost ztráty zařízení i dat. U cloudového řešení jsou data uloženy v zabezpečené serverovně a jsou prohlížena vzdáleně.
  • Problémy s dostupností, poruchami a ztrátou dat - udržení vlastního systému v bezvadném provozu vyžaduje dobré plánování, spolehlivou práci správců a hlavně dostatek finančních prostředků. Udržet krok s technologickým vývojem a získat kvalitní a spolehlivé zaměstnance není levnou záležitostí. U cloudových řešení je mnohem větší prostor pro standardizaci všech procesů a samotné systémy jsou zdvojené nebo jinak jištěné pro dosažení maximální bezpečnosti a výkonnosti.
  • Problémy se shodou kvůli uložení dat - právní předpisy hlavně při práci s citlivými osobními údaji dbají na bezpečnost uložení a způsob nakládání s údaji. U cloudových řešení tak může nastat situace, že data by mohla být uložena v zemích, které legislativně nevyhoví. Zde je na dodavateli cloudu, aby zajistil schodu s legislativou a garantoval např. uložení dat v rámci ČR.
  • Problémy správy softwaru - softwarové vybavení by mělo být pod stálým dohledem a v případě, že se vyskytne bezpečnostní chyba, měla by být okamžitě instalována bezpečnostní aktualizace. U klasického řešení není však často k dispozici bezpečnostní profesionál ani systematická kontrola, která by se o toto postarala. U cloudových řešení jsou tyto problémy trvale sledovány, automaticky jsou instalovány bezpečnostní záplaty.
  • Otázka záruk v případě problémů - u systémů by měly být jasně specifikovány odpovědnosti za vzniklé problémy. V tomto však může vzniknout problém jak u klasického tak u cloudového přístupu, kdy není možné jasně definovat viníka problémů.
  • Virové hrozby - odhalení virové hrozby je otázkou antivirových systémů a dostatečně výkonného hardwaru. U klasického systému často nejsou vyčleněny dostatečné zdroje pro efektivní antivirovou obranu. U cloudového řešení může být díky centralizaci této kontroly ochrana efektivnější.
  • Útoky z internetu - problematika obrany před útoky z internetu představuje požadavek na kvalitní bezpečnostní tým a systematické zabezpečení. U klasického serverového přístupu to však často není z ekonomických důvodů možné.

 

Kvalitní zajištění bezpečnosti firemních systémů vyžaduje dostatek péče, která je často nad možnosti malý, středních, ale i velkých firem, jak dokázaly krádeže a úniky zákaznických dat v nedávné minulosti. Značnou bezpečnostní hrozbou je zde lidský faktor. Velcí poskytovatelé cloudových řešení mají možnost najímat nejlepší světové IT specialisty, aby dostatečnou úroveň nastavili, nebo v případě problémů zajistili nápravu. Zajistit takovouto úroveň ve firmě o 20 zaměstnancích je prakticky nemožné. Společnosti jsou často ukolébány falešným pocitem bezpečí, pokud na server fyzicky vidí a mají nad správou kontrolu. Pocit bezpečí rychle mizí po odcizení serveru ze sídla společnosti, vypuknutí požáru, povodně, přepsání dat na disku po špatném nastavení diskového pole, špatně nastaveném parametru zálohování nebo zcizení dat zaměstnancem.

 

 

Hlavní zdroje ohrožení firemních dat

 

Přesto, že je oblast bezpečnosti cloudu vnímána jako nejvýznamnější problém jejich nasazení, je dobré se podívat, jaká jsou obecně největší ohrožení firemní bezpečnosti. Společnost Deloite ve své studii (2011 TMT Global Security Study) zaměřené na technologické společnosti, média a telekomunikace identifikuje jako největší hrozby pro rok 2012:

 

  • Využívání mobilních zařízení - 34 %
  • Porušení bezpečnosti zahrnující případy třetích stran - 25 %
  • Chyby a opomenutí zaměstnanců - 20 %
  • Rychlou implementaci nových technologií - 18 %
  • Zneužití informací a informačních systémů zaměstnanci - 17 %

 

Z výše uvedených čísel je vidět, že velkým rizikem je používání mobilních zařízení, jako jsou notebooky, chytré telefony a tablety. Data na těchto zařízeních mohou být ztracena při ztrátě zařízení, zapůjčení cizí osobně nebo zcizena díky nedostatečnému zabezpečení zařízení. Naprostá většina ohrožení vzniká v souvislosti s činností a chybami vlastních zaměstnanců. Jedná se jak o neúmyslné tak o úmyslné vynesení informací. Zaměstnanci často nepřisuzují informacím kritickou váhu a necítí se osobně zodpovědní za jejich ochranu.

 

 

Dodržování bezpečnostních standardů ze strany zaměstnanců

 

Dnešní převážně mladí zaměstnanci díky sociálním sítím a značnému zapojení do virtuálního života mají posunuté vnímání soukromí a např. zveřejňování až intimních informací na internetu pro ně nepředstavuje ztrátu soukromí. Podobným způsobem může pak být přistupováno k utajování firemních údajů a zaměstnanci se rádi podělí s okolím o zajímavé informace. Podle zjištění společnosti CISCO při průzkumu mezi studenty a mladými zaměstnanci, 70 % zaměstnanců porušuje bezpečnostní pravidla s určitou pravidelností.

 

  • Nejčastěji (33 %) si myslí, že nedělají nic špatného,
  • 22 % zaměstnanců považuje použití zakázaných aplikací za nutné k dokončení své práce,
  • 19 % porušuje nařízení proto, že nejsou nikým kontrolována,
  • 18 % tvrdí, že nemá čas přemýšlet o pravidlech, když musí pracovat a
  • 16 % dodržování pravidel nevyhovuje.

 

Společnosti, které chtějí v měnícím se prostředí obstát, by tak měly věnovat dostatečnou pozornost nastavení bezpečnostních standardů uvnitř společností, zaměstnance v oblasti bezpečnosti vzdělávat a dohlédnout nad jejím dodržováním. Stejná pravidla platí také pro výběr a kontrolu poskytovatele cloudových služeb. V závislosti na druhu dat, která mají být do cloudu umístěna je zapotřebí zvážit, jestli je ochrana cloudového úložiště dostatečná. Pokud není, je možné ještě využít nástrojů třetích stan, které možností zabezpečení rozšiřují o šifrování, zálohování, obranu před distribuovanými útoky z internetu (DDoS), proniknutím malwaru apod. Při výběru poskytovatele je vhodné dohlédnout, zda má také potřebnou certifikaci jako ISO 27001, SOC 2 nebo SOC 3.

Z výše uvedeného se asi jako největší hrozba cloud computingu jeví předání firemních dat jiné osobě a neshoda s právními předpisy. Pokud firma identifikuje kritická data, která nemůže svěřit poskytovateli cloudových služeb, ale chce využít výhod virtualizace, začíná cesta u soukromého cloudu. V soukromém cloudu je možné vše od začátku nastavit a plně kontrolovat. Po získání dostatečných zkušeností může přijít na řadu hybridní a nakonec i veřejný cloud.

Pokud se jedná o data, která firmu nemohou z obchodního hlediska poškodit, nejsou obavy z bezpečnosti na místě, protože obecně jsou technologie a postupy použité u cloudových poskytovatelů bezpečnější než běžné firemní IT systémy. Při výskytu obavy z bezpečnosti cloudu je dobré porovnat současný stav a úroveň bezpečnosti poskytovanou dodavatelem cloudu a možná zjistíte, že to nejbezpečnější co můžete udělat je přejít do cloudu co nejrychleji.

 

 





 

 

   

 

 

Zasílání novinek

Pravidelné  články, zprávy a informace ze světa práce a komunikace na dálku přes Internet nebo práce z domova (přibližně 1x měsíčně). Zasílání nabídek práce z domova a online služeb.

 

Váš e-mail:

 

Respektujeme vaše soukromí a proto chráníme vaše osobní údaje.

 

 

 

Chcete být úspěšní anebo ušetřit čas i náklady?

 

Využivejte online služby, jejichž seznam naleznete v přehledném katalogu nebo si nechte vytvořit databázovou online aplikaci přímo na míru. Online školení a webináře vám pomohou získat informace nebo vzdělání na dálku přímo z kanceláře nebo domova. Podnikatelům, firmám a institucím ušetří značné náklady videokonference a telekonference či Google Apps, které vám zavedeme na míru. Získáte tak kvalitní nástroje pro efektivní práci a komunikaci online nebo provozování úspěšné práce z domova. Portál Workline přináší komplexní informace i řešení a je v ČR jediný svého druhu.

 

 

7 důvodů pro spolupráci s námi

1. Ušetříme vám až 70 % nákladů za vývoj online aplikací. Zkrátíme dobu vývoje aplikace o polovinu. Více...

 

2. Snížíme náklady až o 55 % při přechodu ze software na online řešení od firem Google nebo Microsoft. Více...

 

3. Zvýšíme efektivitu vašich obchodníků či zaměstnanců pomocí online schůzek (videokonference a telekonference). Více...

 

4. Zpřístupníme vaše školení většímu počtu posluchačů. Řešení bez nákladů na pronájem školicích místností. Více...

 

5. 25 miliónů lidí v USA pracuje na dálku. Pomůžeme vaší firmě následovat tento trend. Více...

 

6. Námi doporučované nástroje a postupy sami využíváme. Ověřeno 3 roky v praxi.

 

7. Naše konzultanty citoval například iDNES.cz, Hospodářské noviny, Penize.cz a další média.. Více...

 

Přečtěte si náš příběh

 

Reference

 

"S produktem Google Apps i jeho zavedením jsme spokojeni. Pomáhá nám v lepší organizaci jako je sdílení harmonogramu a dokumentů. Uvítali jsme i nové rozhraní pro vyřizování emailů. Především orientace ve starých emailech je mnohem rychlejší a úspěšnější."

 

Ing. Jiří Štěpán

jednatel společnosti Brio

 

Zobrazit další vyjádření zákazníků

 

 

 

Sledujte nás:


 

 

Ochrana soukromí        2012 © Idealine Solutions s.r.o.        Mapa stránek      Inzerujte s námi

 

 

 

 

    Partneři: