+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo w sieci

ISO 27018 Bezpieczna chmura - czy to możliwe?

11/07/2016

ISO 27018 Bezpieczna chmura - czy to możliwe?

Chmura obliczeniowa w biznesie nie jest już nowym zagadnieniem. Coraz więcej polskich organizacji zaczyna z niej korzystać. Wciąż jednak wielu menadżerów wzbrania się przed przenoszeniem danych do chmury. Głównym powodem jest kwestia bezpieczeństwa. I wcale nie ma się co dziwić, biorąc pod uwagę fakt, że organizacje gromadzą i przetrzymują ogromne ilości informacji o swoich klientach.

W wielu klientach kryje się naturalna podejrzliwość w stosunku do innowacyjnych rozwiązań – nienamacalnych, odległych topograficznie usług, których zaplecze technologiczne znajduje się poza ścianami znajomego biura. Pojawia się nie tylko obawa o bezpieczeństwo własnych danych, ale także danych klientów, których wyciek może spowodować fatalne konsekwencje prawne, finansowe i przede wszystkim wizerunkowe. 

Choć zalety rozwiązań chmurowych dla organizacji są niepodważalne, warto zastanowić się nad bezpieczeństwem danych przetrzymywanych w sieci. Czy chmura jest tak bezpieczna, jak utrzymują jej dostawcy? Co z bezpieczeństwem w organizacji, czy jest niezagrożone?

Entuzjazm przedsiębiorców osłabia jednak najpoważniejsza z wątpliwości – prawie połowa organizacji wątpi w wystarczające bezpieczeństwo usług Cloud Computing. Należy kierować się kilkoma zasadami, aby zapewnić satysfakcjonujący poziom zabezpieczenia.

Wybierz bezpieczniej

Zagwarantowanie najwyższego poziomu zabezpieczeń nie należy do zadań łatwych. W przypadku danych o najwyższym stopniu poufności, klient podnieść może stopień zabezpieczeń, decydując się na rozbudowany model rozwiązań CC. Zwiększenie ochrony wiąże się z rezygnacją z Public Cloud Computingu, polegającego na współdzieleniu wirtualnego środowiska z wyodrębnionej części serwerowni. Wyższy stopień ochrony zapewnia kolokacja, polegająca na udostępnieniu klientowi miejsca w szafie serwerowej, wydzielonej powierzchni serwerowni lub całej sali kolokacyjnej. Ulokowana tam infrastruktura należy do klienta, a jedynie zarządzanie nią zlecane jest pracownikom serwerowni. Decydując się na usługę kolokacji wybrać musimy zaufany podmiot, posiadający własne, dobrze zabezpieczone Centrum Danych. Firmy posiadać mogą własne serwerownie, zapewniające najwyższy stopień zabezpieczeń, jak i dzierżawić powierzchnie, korzystając ze swojego bądź wypożyczonego sprzętu.

Dobry backup danych

Przede wszystkim jednak, klient wymagać powinien tworzenia ciągłych backupów, jedynego środka zabezpieczającego przed bezpowrotną stratą danych, a także posiadać nad nimi fizyczną kontrolę.

Stale przeprowadzany backup jest jedynym gwarantem zabezpieczającym odzyskanie powierzonych przez klienta danych. W przypadku błędu ludzkiego, spustoszeń wywołanych przez wirusa, a nawet pożaru, to kopie zapasowe pozwolą na odzyskanie pełnych i poprawnych informacji. Same kopie bezpieczeństwa ulokowane muszą zostać w innym budynku, na osobnym nośniku fizycznym, aby całkowicie wyeliminować możliwość straty lub uszkodzenia obu wersji.

Wyznaczniki najwyższej ochrony

W jaki sposób klient może przekonać się o poziomie zabezpieczeń? Bezpiecznego usługodawcę poznać można już na pierwszy rzut oka, po określonych cechach, świadczących o zapewnionym poziomie ochrony. Podstawowe minimum stanowi szyfrowanie przy logowaniu (SSL), certyfikat ID lub VPN. O ciągłości usług świadczyć będzie korzystanie ze stałego monitoringu zawiadamiającego o awarii witryny w ciągu kilku sekund. Ważna jest także sama geolokalizacja firmy, determinująca dostępność 24/7. Zdobyte doświadczenie firmy, a więc bogate portfolio klientów i uzyskane referencje, także nie są bez znaczenia.

Normy i dobre praktyki w chmurze

Największym problemem na przeszkodzie szerokiemu biznesowemu wykorzystaniu przetwarzania w chmurze jest brak zaufania. Chmura może oferować najwyższy  poziom bezpieczeństwa, jednak gdy klient nie jest pewny tego bezpieczeństwa,  samemu zwykle nie znając się na tym, niechętnie podejmie decyzję związaną z nieznanym mu poziomem ryzyka. Problemem jest więc zaufanie co do bezpieczeństwa.

Reguły te zostały ujęte między innymi w rodzinie norm ISO 27000. W tym w normie ISO/IEC 27001:2013 Technika informatyczna  – Techniki bezpieczeństwa  – System  Zarządzania Bezpieczeństwem Informacji  – Wymagania oraz w normie ISO/IEC 27018:2014 Information technology  – Security techniques  – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor, dotyczącej bezpieczeństwa danych osobowych w chmurze. ISO 27018 zobowiązuję organizację do poinformowania nas o próbie ingerencji aparatu administracji państwowej w nasze dane oraz wymusza na pracownikach podpisanie klauzuli zobowiązującej do zachowania poufności. Nie chroni przed przypadkami losowymi, ale stanowi doskonałą ochronę przed instytucjonalną ingerencją w nasze dane.

Rozwiązania w chmurze (Cloud Computing) stanowią najlepszą odpowiedź na rosnącą potrzebę korzystania w organizacji z nowych technologii, przy jednoczesnym braku inwestycji w zaplecze najnowszej generacji. Dotyczą one nie tylko sprzętu, ale i oprogramowania (oszczędności na zakupie licencji), usług, administracji. Klient uzyskuje swobodny dostęp on-line do superszybkich usług, ponosząc jedynie koszty wykorzystania realnych zasobów.

Dariusz Łydziński, Trener BSI  i Auditor Systemów Zarządzania Bezpieczeństwem Informacji, BSI Group Polska.

źródło: bsigroup.com

 

Wróć do aktualności

Jak do nas trafić?

Chętnie podejmiemy dyskusję na tematy związane z bezpieczeństwem IT i ochroną danych, działalnością uświadamiającą oraz ochroną infrastruktury krytycznej. Zapraszamy do kontaktu.

Bądź bezpieczny, czytaj newsletter

Otrzymuj informacje o najnowszych wpisach na blogu, wydarzeniach 4 IT SECURITY