Kontakt

Zadzwoń

tel.+48 71 735 11 10
fax+48 71 735 11 12

Adres

HRS Sp. z o. o.
Duńska 9
54-427 Wrocław

CLOUD COMPUTING, A BEZPIECZEŃSTWO DANYCH

1.08.2011

Obecnie panujące trendy w obszarze rozwiązań Cloud Computing wskazują, iż  w  najbliższym  czasie  liczba   oferujących   ten   rodzaj   usługi   podmiotów,   będzie dynamicznie    wzrastać, aby w kolejnym kroku przejść do fasy konsolidacji rynku. Na dzisiejszym etapie rozwoju produktu, najwięksi oferenci są jeszcze w fazie rozbudowy i udoskonalania rozwiązań systemowych, zmierzających do tworzenia rozbudowanych aplikacji dostępnych w ramach Cloud Computing.

Powody, dla których firmy decydują na się już na te rozwiązania zdają się być zawsze te same:

- ograniczenie kosztów,
- dostępność do danych/aplikacji.

Jednak, ten rodzaj usług stoi przed poważnym wyzwaniem, jakim stawia przed nim bezpieczeństwo informacji.

Dla wielu z nas, korzystających z serwerów zewnętrznych, nie jest do końca jasne. To, gdzie znajdują się nasze dane i kto może mieć do nich dostęp wciąż przysparza  niektórych  o  ból  głowy. Z tego powodu wiele firm podchodzi sceptycznie do promowanych ostatnio usług i rozwiązań opartych o Cloud Computing oraz do zagadnień związanych z bezpieczeństwem danych i  usług oferowanych w „wirtualnym świecie”.

Intuicyjnie podchodzimy to tego obszaru, jako dziedziny o dużym potencjale zagrożeń. Powodem tego twierdzenia są obecnie, zbyt mało zindywidualizowane rozwiązania zabezpieczające klientów/użytkowników. Ważnym aspektem przy tego typu rozwiązaniach IT jest, aby rozwiązania implementowane przy okazji zakupu usługi Cloud Computing w firmie, integrowały się z już istniejącą koncepcją bezpieczeństwa, w celu wykluczenia negatywnego oddziaływania pomiędzy systemami. Należy dodać, iż nowe rozwiązania techniczne powinny być   w   stanie,   nie   tylko   identyfikować i blokować ataki z zewnątrz, ale również działania niepożądane wewnątrz sieci.  Nie jest to oczywiście tylko i wyłącznie sprawa zabezpieczeń sprzętowych, czy programowych. W celu zapewnienia należytego, kompleksowego bezpieczeństwa z pomocą może przyjść standard ISO 27001, wykorzystujący cykl PDCA (Plan-Do-Check-Act).

Norma ISO 27001 charakteryzuje się systemowym podejściem do bezpieczeństwa fizycznego, osobowego, teleinformatycznego i prawnego. Norma nie określa wymagań technicznych, wskazuje natomiast, które obszary należy uregulować opierając się o analizę ryzyka. Z uwagi na przedstawione w normie podejście do spraw bezpieczeństwa, staje się ona dobrym narzędziem dla organizacji zainteresowanych aspektami bezpieczeństwa w Cloud Computing (istnieje możliwość certyfikacji według ISO 27001).

Dla rozwiązań Cloud Computing istotną rolę odgrywa również rozmieszczenie serwerów. Zagraniczne    lokalizacje     narażają    użytkowników   na  niebezpieczeństwo   związane np. z nieznajomością obowiązujących lokalnie przepisów prawa. Dlatego na wstępie należy określić, gdzie będą znajdowały się serwery, na których będą zapisywane nasze dane. Ponadto należy już na etapie przygotowywania umowy określić scenariusze dla różnych incydentów (co się stanie, gdy dojdzie do krytycznego zdarzenia mogącego nieść zagrożenie dla bezpieczeństwa). Planując przeniesienie aplikacji i/lub infrastruktury IT, należy określić kolejne fazy działań, wraz ze zdefiniowaniem ryzyka i zagrożeń. Te procesy można określić jako Life Cycle Procedure (LCP).

LCP
Faza planowania
krok 1 – analiza bezpieczeństwa,
krok 2 – wybór usługodawcy.

Implementacja i migracja
krok 3 – określenie warunków umowy,
krok 4 – migracja

Faza startu
krok 5 – zapewnienie bezpiecznego działania

Zakończenie
krok 6 – zakończenie fazy migracyjnej

Proces LCP odpowiada w krokach od 1 do 5 cyklowi PDCA wymaganym przez ISO 27001. Oczywiście istnieje możliwość wyselekcjonowania tylko niekrytycznych, z punktu widzenia organizacji funkcji (platform, aplikacji) działających w ramach Cloud Computing.

Autor - HRS