Один пользователь недавно заявил, что связанные с облачными вычислениями риски с точки зрения безопасности начинают перевешивать преимущества доставки ПО в виде сервиса через Интернет. Он считает, что в облаке важнейшие системы и персональные данные защищены существенно слабее, чем в случае размещения их на собственной площадке.
Здесь таится проблема для будущего облачных вычислений, проблема доверия. В связи с переносом компаниями своих ИТ-систем в облака складывается мнение относительно уровня их защиты относительно к уровню защиты на предприятиях. Многие из этих предположений являются ложными и вводят людей в заблуждение.
Каждой ли организации подходят облачные вычисления? Вовсе нет. Любое предприятие должно принимать решение о развертывании ИТ-систем и приложений в облаке или на собственной площадке с учетом различных факторов, включая отношение компании к аутсорсингу, внутренние затраты и ожидаемый экономический эффект, требования регуляторов и потребности в ИТ.
Правильное решение опирается на факты, а не на предположения и слухи. А факты таковы.
Создание доверительной среды. Когда речь идет о безопасности данных, их местонахождение играет не столь важную роль, как применяемая стратегия защиты. Соответственно наиболее серьезные угрозы связаны не с облаком, а с тем, что в компании существуют неадекватные политики ИТ-безопасности, а сотрудники не знают своей роли в защите корпоративных данных. Если в конкретной организации это действительно так, ее уязвимость возрастает независимо от используемой модели развертывания ИТ-систем и приложений.
Скажем, большинство соглашений об уровне обслуживания основаны на показателях производительности и содержат обязательства, касающиеся технической поддержки. Однако во многих из них ничего не говорится о корпоративных политиках и процедурах ИТ-безопасности и о том, как обеспечивается их соблюдение в организации.
Далее, компании часто не сознают, что даже если данные находятся в удаленном облаке, их сотрудники (именно сотрудники) скорее всего и нарушат целостность этой информации. В действительности хищение данных во многих случаях является результатом действий персонала, имеющего доступ к конфиденциальным сведениям и невольно становящегося соучастником или пособником тех, от кого исходит внешняя угроза.
Создание политик управления доступом. Для противодействия инсайдерским угрозам и обеспечения эффективного применения политик безопасности и процедур защиты в компаниях используется многоуровневый подход. Он представляет собой сочетание строгого, но в то же время гибкого управления доступом к конфиденциальным данным с непрерывным обучением сотрудников правилам безопасности и процедурам, которых обязана придерживаться организация.
В этих целях через эффективную политику безопасности (и связанные с ней процедуры) определяется порядок, в соответствии с которым все сотрудники — от стажеров и контрактников до высших руководителей — могут получать доступ к тем или иным типам данных, хранить их и предоставлять другим лицам внутри и вне компании. Такой порядок должен быть интуитивно понятен, поддаваться проверке и проведению в жизнь. Он служит основой управления доступом сотрудников к информации и ресурсам.
Кроме того, систему следует настроить таким образом, чтобы она автоматически отказывала в доступе (без каких-либо исключений) нынешним и бывшим сотрудникам, у которых нет уважительных причин для ознакомления с определенными данными. Такая система должна быстро пресекать доступ уволившихся кадров или консультантов.
Обучение сотрудников. Разработать мощный набор политик и процедур безопасности — это только полдела. Компании будут по-прежнему уязвимы, если их сотрудники не знают действующих правил или плохо понимают, что их решения и действия (в частности, какие веб-сайты они посещают, какое ПО загружают на свои рабочие компьютеры и т. д.) играют главную роль в подрыве защиты от хищения данных.
Это особенно важно в тех отраслях, где жесткие требования предъявляют регулирующие органы, например в здравоохранении и области финансов. Здесь компании должны соблюдать самый строгий регламент, чтобы не подвергнуться риску серьезного ущерба для бизнеса и своей репутации.
Если менеджеры осознАют масштабы и источники основных угроз для ИТ-безопасности, они начнут понимать, что большинство из них не связано с моделью доставки приложений и данных. Организации, которые создадут мощную систему защиты, подкрепленную непрерывным обучением сотрудников, обнаружат, что облако вовсе не грозовое и не страшное, чего многие опасаются.
