Luki w bezpieczeństwie danych! Firmom brakuje kompetencji!

 

Czy i dlaczego warto zaufać zewnętrznym standardom?

Stabilne, bezawaryjne przechowywanie i przetwarzanie danych, to w obecnym otoczeniu rynkowym bezwzględny priorytet na drodze do budowania wiarygodności biznesowej. Sam proces zapewnienia bezpieczeństwa jest bardzo złożony, wymaga synchronizacji kilku czynników: odpowiednio dopasowanych systemów technologicznych, szczelnej infrastruktury i najbardziej krytycznego – kompetencji. Jeszcze nie tak dawno zarządzanie bezpieczeństwem IT rozumiane było jako pełna kontrola nad serwerami, nośnikami danych, aplikacjami czy łączami z założeniem własności wykorzystywanych zasobów i ich stałego monitorowania. Dynamika rozwoju technologii informatycznych zdezaktualizowała jednak to założenie powodując, że klasyczny paradygmat bezpieczeństwa – jest stabilne i szczelne, dopóki mam nad tym kontrolę – przestaje mieć znaczenie. Firmy nie mają takiej mocy, aby wszystkie swoje nośniki – z uwagi na ich wielość i przechowywane na nich informacje – w pełnym zakresie kontrolować. Dlatego jest tak ważne, aby pojęcie bezpieczeństwa w systemach informatycznych zostało właściwie zredefiniowane w każdym biznesie.

Wewnątrz firmy – pytanie czy bezpieczniej?

Do niedawna rynek bardzo hermetycznie traktował politykę bezpieczeństwa danych. W przedsiębiorstwach panowało i wciąż obecne jest przekonanie, że bezpieczniej jest, gdy zasoby informacyjne przechowywane są w strukturach firmy, a wszelkie procesy operacyjne na nich dokonywane pozostają w kompetencjach wewnętrznych osób upoważnionych. Tymczasem w wyniku ewolucji technologicznej ten kontekst uległ radykalnej zmianie.

Klasycznie rozumiane zarządzanie bezpieczeństwem zostało skonfrontowane z nowymi zjawiskami, które wymagały zastosowania zupełnie nowych rozwiązań. Takim novum w świecie biznesu stał się outsourcing mocy obliczeniowych – chmura, szczególnie w przypadku oferty typu infrastruktura jako usługa. Nabywca nie kupuje tutaj aplikacji, fizycznych dysków czy serwerów, które wymagają zabezpieczenia, ale odbiera zdalnie udostępnianą aplikację czy przestrzeń dyskową. Zarządzanie dostępem do tego środowiska jest przekazywane stronie zewnętrznej na mocy odpowiednio sformułowanej umowy. Procedury postępowania na wypadek zagrożeń są w pełni koordynowane przez dostawcę. Jedynym właściwie obszarem do samodzielnej decyzji zarządczej w ramach strategii postępowania z ryzykiem, pozostaje jego transfer, a więc ubezpieczenie się od zagrożeń lub przeniesienie ryzyka na stronę trzecią - komentuje Adrian Lapierre, wykładowca Akademii Altkom, specjalista w obszarze projektowania i audytu bezpieczeństwa systemów IT, CEO firmy SoftProject.

Nieświadomość kar wynikających z luk w bezpieczeństwie danych

Przedsiębiorcy, często chcąc zaoszczędzić na usługach związanych z przechowywaniem i przetwarzaniem danych, decydują się na pozostawienie ich w swoich strukturach operacyjnych. Towarzyszy temu z reguły niska świadomość konsekwencji, jakie niesie za sobą nieprofesjonalne zarządzanie informacjami i nie są to jedynie obciążenia finansowe. Z raportu Oracle z 2013 wynika, że dla 56 proc. firm kłopoty z danymi i technologią wiążą się z utrudnioną współpracą i komunikacją, również z partnerami zewnętrznymi. 21 proc. przedsiębiorstw z Europy, Bliskiego Wschodu i Afryki (EMEA) posiada z kolei nieprawidłowo przystosowane systemy informatyczne.

Pozostając przy modelu samodzielnego zarządzania całym ekosystemem IT, przedsiębiorstwa często nie zdają sobie sprawy z ryzyka obciążeń karnych spowodowanych nieprzestrzeganiem wymogów prawa w zakresie przechowywania danych. Trudne jest zapewnienie firmie kompletnej wysoko standaryzowanej obsługi całego systemu IT, zgodnej z najlepszymi praktykami, przy użyciu samodzielnych zasobów wewnętrznych. Jest to ciężkie do uzyskania w rozumieniu kosztowym, technologicznym i kompetencyjnym. Korzystanie z usług zewnętrznych dostawców wypełnia tę lukę – dodaje Lapierre.

Outsourcing – płacisz tylko za to, co faktycznie wykorzystujesz

Kluczowy jest tu bilans finansowy. W przypadku outsourcingu cloudowego struktura kosztów z nakładów inwestycyjnych przesunięta jest w kierunku operacyjnych. Oznacza to, że firma nie musi ponosić wydatków na zapewnienie odpowiedniej infrastruktury IT, ale płaci podwykonawcy za usługę dostępu do zasobów, oprogramowania oraz zabezpieczenie danych umieszczonych na zewnętrznych serwerach. Dodatni bilans wzmacnia zdolność dynamicznego skalowania, która umożliwia zmianę konsumowanych zasobów w odpowiedzi na realne zapotrzebowanie oraz możliwość automatycznego zamówienia i wdrożenia nowych zasobów. Ta ostatnia sprawia, że nowa wirtualna instancja może być uruchomiona w dowolnym, określonym przez nabywcę momencie i równie szybko odesłana, nie powodując naliczania żadnych opłat poza tymi, które wynikają z czasu jej aktywnego wykorzystania.

SLA i transfer ryzyka na stronę kompetentną

W klasycznym modelu odpowiedzialność za bezpieczeństwo danych ponoszą wewnętrzne służby IT, których standardy pracy określone są parametrami OLA (operacyjny poziom usługi) lub SLA (poziom świadczenia usługi). Model oparty na outsourcingu wymaga w takim samym stopniu realizacji wytycznych określonych w OLA czy SLA z tą różnicą, że egzekucją tych założeń zajmuje się strona trzecia według wystandaryzowanego kontraktu. Jedyna rzecz, jaka się zmienia z perspektywy bezpieczeństwa, to transfer ryzyka z wewnętrznego na zewnętrznego dostawcę.

Dlaczego decyzja o outsourcingu oznacza większe bezpieczeństwo? Firmy, które wyposażone są we własne centra danych, muszą stworzyć standardowe procedury bezpieczeństwa, nie będąc przy tym ekspertami w tym zakresie i nie mając z reguły dostępu do wyspecjalizowanych zabezpieczeń. W konsekwencji zwiększa to ryzyko nieszczelności i błędów, które rzadko kiedy są do uniknięcia. Firma outsourcingowa, dysponując profesjonalnym i zaawansowanym zapleczem technologicznym, zabezpiecza infrastrukturę i wszystkie funkcjonujące w niej systemy przed awariami i usterkami. Jeśli nawet doszłoby do złamania zabezpieczeń, dostawca z reguły interweniuje szybciej i skuteczniej. Taki incydent nie spowalnia przy tym procesów biznesowych firmy, może ona równolegle korzystać z innych zasobów, nienaruszonych włamaniem – podkreśla Lapierre.

Bezpieczeństwo w rękach ekspertów

W wielu przedsiębiorstwach brakuje wyspecjalizowanej kadry odpowiedzialnej za zarządzanie bezpieczeństwem informacji. Jeśli więc zdolności koordynujące są w firmie osłabione brakiem właściwych kompetencji, siłą rzeczy dane, którymi dysponuje przedsiębiorstwo, są zagrożone. Wiedząc, że inżynieria społeczna, to najbardziej zawodne ogniwo w łańcuchu zabezpieczeń, firmy outsourcingowe zatrudniają wysokokwalifikowanych specjalistów z odpowiednim zapleczem merytorycznym i doświadczeniem. 73,9 proc. badanych przedsiębiorstw w raporcie o outsourcingu decyduję się na współpracę z zewnętrznym odbiorcą właśnie ze względu na dostęp do specjalistycznej wiedzy i know-how. Jak twierdzi Adrian Lapierre, wieloletni ekspert w obszarze projektowania i audytu bezpieczeństwa systemów IT - outsourcerzy restrykcyjnie dbają o ochronę informacji, które przechowują. Są na bieżąco z nowymi wytycznymi dotyczącymi zabezpieczenia danych i bezpośrednio wdrażają je w świadczone usługi. Będąc w stałym kontakcie z klientem informują go, jakie dane należy zgłosić do GIODO. Jeśli to zakłada usługa, dostarczają mu także zaplecze edukacyjne. Szkolenia związane są z zagadnieniami prawnymi, zabezpieczeniami lokalizacji sieci oraz systemami zgodnymi z Ustawą o ochronie danych osobowych. Pracownicy są przeszkoleni w klasyfikacji danych i tego, jakie środki ochrony powinny być stosowane do poszczególnych typów informacji. Zadaniem outsourcera jest także często wyszkolenie w firmie osoby pełniącej funkcję Administratora Bezpieczeństwa Informacji. Obowiązkiem osoby na tym stanowisku jest nadzorowanie i przestrzeganie zasad ochrony danych w przedsiębiorstwie, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i organizacyjne.

Rodzaje zabezpieczeń w dostawie

77 proc. badanych respondentów, decydując się na skuteczne zabezpieczenie informacji przy współpracy z firmą zewnętrzną, korzysta z hostingu. Nie jest to jedyny sposób, w jaki outsourcerzy chronią dane krytyczne. Oferują rozbudowaną platformę zarządzania archiwizacją i odzyskiwaniem danych po awarii. Takie rozwiązanie pozwala na zdalną archiwizację plików, baz danych, serwerów pocztowych. Blokowanie danych odbywa się także dzięki szyfrowaniu ich na dysku za pomocą przeznaczonych do tego celu profesjonalnych programów. Na wypadek wystąpienia nieoczekiwanych zdarzeń bądź awarii, które mogłyby przerwać działalność operacyjną firmy, outsourcerzy wdrażają zapasowe centrum przetwarzania danych. Funkcjonalność tego rodzaju zabezpieczenia informacji polega na planowaniu i testowaniu procedur przywracania ciągłości biznesowej, odzyskiwaniu informacji oraz na przygotowaniu i utrzymaniu zapasowego centrum danych. Pozwala to przedsiębiorstwu zaoszczędzić środki, które musiałoby przeznaczyć na budowę własnego ośrodka zapasowego.

Ochrona danych coraz bardziej restrykcyjna

Jakie są więc prognozy dla rynku outsourcingu w zakresie zarządzania bezpieczeństwem?

Jest łatwe do przewidzenia, że postępująca w tym środowisku konkurencja i coraz bardziej wymagający nabywca spowodują konieczność bardziej rygorystycznego definiowania umów SLA. Główni dostawcy będą podbijać jakość fizycznego bezpieczeństwa. Dane będą szyfrowane aż do momentu rozpoczęcia ich przetwarzania przez procesor. Sprzęt, monitory instancji wirtualnych i systemy operacyjne zostaną objęte technologią zaawansowanych zabezpieczeń na wszelkich możliwych poziomach. Większość dostawców będzie dysponowała centrami w wielu lokalizacjach, a każde takie centrum będzie miało nadmiarową moc, kompensującą awarie sprzętowe i sieciowe poprzez przenoszenie zadań do innych banków serwerów lub nawet do innych lokalizacji – odpowiada Lapierre. Czyżby więc zewnętrzne zarządzanie bezpieczeństwem systemów IT miało stać się najbardziej wydajnym modelem biznesowym, a chmura najbezpieczniejszym środowiskiem pracy? Jestem przekonany, że rzeczywistość biznesowa będzie musiała tę hipotezę szybko zweryfikować – dodaje.