Wybierz bezpieczniej
Zagwarantowanie najwyższego poziomu zabezpieczeń nie należy do zadań łatwych. W przypadku danych o najwyższym stopniu poufności, klient podnieść może stopień zabezpieczeń, decydując się na rozbudowany model rozwiązań CC. Zwiększenie ochrony wiąże się z rezygnacją z Public Cloud Computingu, polegającego na współdzieleniu wirtualnego środowiska z wyodrębnionej części serwerowni. Wyższy stopień ochrony zapewnia kolokacja, polegająca na udostępnieniu klientowi miejsca w szafie serwerowej, wydzielonej powierzchni serwerowni lub całej sali kolokacyjnej. Ulokowana tam infrastruktura należy do klienta, a jedynie zarządzanie nią zlecane jest pracownikom serwerowni. Decydując się na usługę kolokacji wybrać musimy zaufany podmiot, posiadający własne, dobrze zabezpieczone Centrum Danych. Firmy posiadać mogą własne serwerownie, zapewniające najwyższy stopień zabezpieczeń, jak i dzierżawić powierzchnie, korzystając ze swojego bądź wypożyczonego sprzętu.
Dobry backup danych
Przede wszystkim jednak, klient wymagać powinien tworzenia ciągłych backupów, jedynego środka zabezpieczającego przed bezpowrotną stratą danych, a także posiadać nad nimi fizyczną kontrolę.
Stale przeprowadzany backup jest jedynym gwarantem zabezpieczającym odzyskanie powierzonych przez klienta danych. W przypadku błędu ludzkiego, spustoszeń wywołanych przez wirusa, a nawet pożaru, to kopie zapasowe pozwolą na odzyskanie pełnych i poprawnych informacji. Same kopie bezpieczeństwa ulokowane muszą zostać w innym budynku, na osobnym nośniku fizycznym, aby całkowicie wyeliminować możliwość straty lub uszkodzenia obu wersji.
Wyznaczniki najwyższej ochrony
W jaki sposób klient może przekonać się o poziomie zabezpieczeń? Bezpiecznego usługodawcę poznać można już na pierwszy rzut oka, po określonych cechach, świadczących o zapewnionym poziomie ochrony. Podstawowe minimum stanowi szyfrowanie przy logowaniu (SSL), certyfikat ID lub VPN. O ciągłości usług świadczyć będzie korzystanie ze stałego monitoringu zawiadamiającego o awarii witryny w ciągu kilku sekund. Ważna jest także sama geolokalizacja firmy, determinująca dostępność 24/7. Zdobyte doświadczenie firmy, a więc bogate portfolio klientów i uzyskane referencje, także nie są bez znaczenia.
Normy i dobre praktyki w chmurze
Największym problemem na przeszkodzie szerokiemu biznesowemu wykorzystaniu przetwarzania w chmurze jest brak zaufania. Chmura może oferować najwyższy poziom bezpieczeństwa, jednak gdy klient nie jest pewny tego bezpieczeństwa, samemu zwykle nie znając się na tym, niechętnie podejmie decyzję związaną z nieznanym mu poziomem ryzyka. Problemem jest więc zaufanie co do bezpieczeństwa.
Reguły te zostały ujęte między innymi w rodzinie norm ISO 27000. W tym w normie ISO/IEC 27001:2013 Technika informatyczna – Techniki bezpieczeństwa – System Zarządzania Bezpieczeństwem Informacji – Wymagania oraz w normie ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor, dotyczącej bezpieczeństwa danych osobowych w chmurze. ISO 27018 zobowiązuję organizację do poinformowania nas o próbie ingerencji aparatu administracji państwowej w nasze dane oraz wymusza na pracownikach podpisanie klauzuli zobowiązującej do zachowania poufności. Nie chroni przed przypadkami losowymi, ale stanowi doskonałą ochronę przed instytucjonalną ingerencją w nasze dane.
Rozwiązania w chmurze (Cloud Computing) stanowią najlepszą odpowiedź na rosnącą potrzebę korzystania w organizacji z nowych technologii, przy jednoczesnym braku inwestycji w zaplecze najnowszej generacji. Dotyczą one nie tylko sprzętu, ale i oprogramowania (oszczędności na zakupie licencji), usług, administracji. Klient uzyskuje swobodny dostęp on-line do superszybkich usług, ponosząc jedynie koszty wykorzystania realnych zasobów.
Wypowiedź Trenera BSI i Auditora Systemów Zarządzania Bezpieczeństwem Informacji, BSI Group.
