Nasz Blog

Jak zwiększyć bezpieczeństwo danych w chmurze?

Korzyści z wykorzystywania zwinnych (lean) rozwiązań IT udostępnianych jako usługi powodują, że coraz więcej przedsiębiorstw decyduje się na przechowywanie w chmurze, przenosząc do niej nie tylko dane, ale także różne obszary działalności operacyjnej. O ile wygoda i korzyści są tu bezsporne, warto zastanowić się, jak zorganizowane jest bezpieczeństwo danych w chmurze. Jak o nie zadbać, by nie narazić się na różnego rodzaju ryzyka?

Z technicznego punktu widzenia nie ma żadnych przeszkód, aby dane firmy przechowywać i przetwarzać w chmurze. Jeżeli jednak decydujemy się na taki krok, to jednocześnie powinniśmy zastanowić się, czy dane przechowywane na serwerach poza firmą są bezpieczne.

Bezpieczeństwo danych w chmurze – na co zwrócić uwagę?

Na kwestie bezpieczeństwa danych w chmurze warto spojrzeć w kilku kontekstach, przy czym żadnego nie powinno się bagatelizować. Każdy z nich niesie dla przedsiębiorstw konkretne rodzaje ryzyka. 

Dostawca

Pierwszy dotyczy dostawców usług w chmurze, ich wiarygodności, rzetelności w dochowywaniu standardów oraz stabilności biznesowej. Zawsze warto zweryfikować podmiot, który dostarcza nam usługę – a szczególnie to, jaki poziom poufności danych jest w stanie nam zapewnić oraz czy deklaracje na tym gruncie mają jakiekolwiek poparcie w certyfikatach (m.in. ISO 27018) oraz czy podmiot działa zgodnie z rozporządzeniem GDPR / RODO. 

Czynnik ludzki

Drugi kontekst odnosi się do kultury organizacyjnej firmy, która decyduje się na korzystanie z chmury. Bezpieczeństwo danych w chmurze w największym stopniu zależy od czynnika ludzkiego. Dlatego warto rozważyć, czy kultura organizacyjna przedsiębiorstwa, przyjęte w nim standardy, polityka bezpieczeństwa, realizowane procesy biznesowe i działania, pozwalają na to, by móc bezpiecznie oprzeć procesy przetwarzania danych w chmurze. Im bardziej wrażliwe lub ważne dla firmy dane planujemy przenieść do chmury, tym ściślej powinno się weryfikować gotowość organizacji do działania w takim modelu. Mało tego, już po rozpoczęciu przygody z cloud computing, utrzymanie odpowiedniego poziomu ochrony danych powinno być wspierane przez cykliczne, wewnętrzne audyty bezpieczeństwa.

Kwestie techniczne

Trzeci kontekst dotyczy kwestii technicznych wykorzystywanej usługi, mogących mieć wpływ na bezpieczeństwo danych w chmurze. Przede wszystkim warto sprawdzić, czy usługa w chmurze zapewnia szyfrowanie danych, jak również czy możliwe jest przesyłanie do chmury danych, które uprzednio zostały zaszyfrowane po stronie przedsiębiorcy. Dla własnego bezpieczeństwa warto sprawdzić poziom jakości usług (SLA) dostawcy, jego czas reakcji na zgłoszenia, zasady działania helpdesku, gwarantowany poziom dostępności usług itp. 

Sprzęt użytkowników

Kolejny kontekst dotyczy sprzętu, wykorzystywanego przez pracowników do korzystania z danych przetwarzanych w chmurze. Nawet jeśli informacje firmy są w pełni zabezpieczone przez dostawców usług, może się okazać, że największa podatność na naruszenie danych występuje po stronie użytkowników. Wystarczy, że pracownicy na swoich urządzeniach (również prywatnych) tworzą różnego rodzaju kopie zapasowe czy własne wersje dokumentów, albo nie zachowują standardów bezpieczeństwa w stosowaniu haseł czy zarządzania autoryzacją. Poniekąd powracamy tu do punktów omówionych już wyżej, dotyczących dojrzałości organizacyjnej firmy oraz czynnika ludzkiego. Niezależnie od wszystkiego sprzęty, które na co dzień są użytkowane przez pracowników, także poza biurem, powinny być należycie zabezpieczane przed nieautoryzowanym dostępem, a dane – jeśli są cenne dla przedsiębiorstwa – powinny być na takich urządzeniach szyfrowane.

Na jakie ryzyka narażamy firmę decydując się na przetwarzanie danych w chmurze?

Zagrożenia związane z wykorzystywaniem chmury możemy podzielić na:

  • związane z wszelkiego rodzaju naruszeniami danych (nieautoryzowanym dostępem, nieuprawnionym przetwarzaniem), 
  • ograniczeniami w dostępności danych,
  • utratą danych.

W znacznym stopniu ryzyka te można ograniczyć do minimum, aby jednak tego dokonać, należy kierować się dobrze określoną strategią bezpieczeństwa.

Czytaj także: Przetwarzanie danych – chmura publiczna, prywatna czy hybrydowa?

Jak chronić dane przetwarzane w chmurze

Wybierz sprawdzonego dostawcę

Zagrożenie związane z ograniczoną dostępnością danych (i usług w ogóle) najlepiej rozwiązać poprzez wybór sprawdzonego i możliwie pewnego dostawcy, o odpowiednim potencjale i zapleczu technologicznym, który na poziomie umowy daje gwarancje utrzymania wysokiej dostępności usług. 

Wdrażaj politykę bezpieczeństwa i zwracaj uwagę na certyfikację dostawców

Bardziej złożoną problematyką jest zarządzanie ryzykiem naruszenia danych, ponieważ potencjalne incydenty mogą występować zarówno po stronie dostawcy usługi, jak i samej firmy, która z tych usług korzysta. W tym kontekście z jednej strony powinno się zadbać o skuteczne wdrożenie polityki bezpieczeństwa, uwzględniającej takie elementy, jak: szyfrowanie danych przez użytkowników usługi w chmurze, wykorzystanie szyfrowanego połączenia z chmurą, stosowanie dwuetapowej weryfikacji użytkownika, stosowanie silnych haseł i zarządzanie hasłami na urządzeniach końcowych. Z drugiej strony warto sprawdzić, czy działalność usługodawcy objęta jest certyfikacją – np. zgodności z rozporządzeniem GDPR (RODO) czy ISO/IEC 27018. Posiadanie certyfikatu ISO 27018 oznacza, że podmiot musi spełniać szereg kryteriów, które zwiększają bezpieczeństwo danych w chmurze, takich jak: sprawowanie ochrony przed próbami instytucjonalnej ingerencji w dane, wymuszanie na pracownikach podpisania klauzuli o zachowaniu poufności danych, uniemożliwianie jakiejkolwiek formy udostępniania czy sprzedaży danych stronom trzecim. 

Pamiętaj o backupach – po stronie dostawcy i własnych

Kolejnym ważnym elementem systemu ochrony danych przetwarzanych w chmurze jest polityka w zakresie kopii bezpieczeństwa. Sprawdzeni dostawcy rozwiązań z chmury zapewniają wykonywanie i utrzymywanie kopii zapasowych, dając duże możliwości odzyskiwania danych. Warto jednak podkreślić, że nawet w przypadku współpracy z najlepszym dostawcą usług, wykonywanie własnego backupu dodatkowo zwiększa bezpieczeństwo baz danych. 

Wykonuj cyklicznie wewnętrzne audyty bezpieczeństwa

Ostatnim (i nie najmniej ważnym) elementem strategii bezpieczeństwa danych w chmurze jest systematyczne przeprowadzanie w organizacji audytów bezpieczeństwa pod kątem podatności firmy, użytkowników, sprzętu i wykorzystywanych usług na wszelkiego rodzaju ryzyka naruszenia lub utraty danych.

Czytaj także: Rozwiązania z chmury dla organizacji zainteresowanych analityką biznesową