Популярность облачных вычислений быстро растет. Идея создания депо виртуальной памяти, где находятся все ваши данные и документы, обещает, что это будет мощный ресурс компаний, так как данный подход позволит им повысить свою эффективность и сэкономить на масштабе.
Специалисты по безопасности должны выделять время на изучение облачных провайдеров и подготовку правильных вопросов, помогающих сделать лучший выбор с учетом требований организации.
Один из важнейших вопросов состоит в том, как защитить это депо и гарантировать, что содержащаяся в нем информация будет доступна исключительно авторизованным сотрудникам вашей компании. Нет гарантии, что у облачного провайдера никогда не обнаружится брешь, — точно так же, как нельзя поручиться за отсутствие брешей в собственной безопасности предприятия.
Поэтому ИТ-профессионалы и специалисты по безопасности должны выделять время на исследование облачных провайдеров и задавать им разумные вопросы, помогающие найти лучшее решение для нужд своей организации. Именно такое исследование должно стать главным приоритетом при выборе провайдера.
Определение желательного для вас комфорта зависит от того, как вы понимаете уровень рисков для хранимой информации. Наиболее эффективным подходом к этому предмету является составление и использование вопросника по безопасности, который вы должны предъявить облачным провайдерам. Вот некоторые из важных вопросов, которые надо в него включить.
- Кто будет иметь доступ к нашей информации?
- Как мы сможем изменять права доступа и насколько быстро это будет происходить?
- Как будут шифроваться наши данные?
- Кто будет отвечать за шифрование данных?
- Когда имела место последняя аттестация компании-провайдера?
- Кто проводил эту аттестацию?
На составлении подобных вопросников в США специализируется много организаций. Это, например, Совет по стандартам безопасности данных индустрии платежных карт (PCI DSS Council) и Альянс по безопасности облачных сервисов (CSA). Первый из них работает уже порядочное время и пользуется авторитетом даже у компаний, которых никогда не беспокоила защита платежной информации.
CSA же состоит из ИТ-профессионалов в сфере безопасности из разных стран мира, специализирующихся на облачных сервисах. На сайте альянса имеется детальная матрица с перечнем вопросов, которые следует задавать провайдерам, и пояснениями по содержанию ответов. Чтобы найти лучший выбор для вашей организации, важно исследовать провайдера по каждой из перечисляемых методологий.
Сформулировав вопросник — по собственному разумению либо используя указанные выше опции, — надо его отправить потенциальным провайдерам облачных сервисов. Пусть вначале они оценят себя сами, а затем уже вы тщательно рассмотрите, насколько их ответы соответствуют вашим запросам.
На практике не всегда есть возможность нанести провайдеру персональный визит, но в большинстве случаев бывает достаточно телефонной беседы с ним. Однако надо убедиться, что вы разговариваете с людьми, занимающимися ИТ и безопасностью, а не с агентами по продажам. При составлении контракта с конкретно сформулированными политиками крайне важно получить информацию непосредственно от специалистов, которые работают с системами и управляют ими.
Внедрение мобильных устройств
Помимо сказанного не забудьте учесть в ваших политиках и планах по безопасности еще одну современную тенденцию — мобильные устройства. Хотя многие люди хотят использовать все имеющиеся у них авппараты, включая смартфоны и планшеты, надо соблюдать осторожность и учитывать добавочные риски, связанные с мобильным доступом к виртуальной сети хранения данных.
С одной стороны, именно здесь облако очень полезно, так как пользователи могут подключаться к нему независимо от времени, места и конкретного устройства. Но что произойдет, если для хранения служебной информации служащие станут использовать персональный облачный сервис? С самого начала в процесс должны быть вовлечены специалисты по безопасности, чтобы они разработали и установили правильные политики, обеспечили их соблюдение и создали гарантии; только при этом условии все работники в любой ситуации будут действовать как положено.
Многие компании еще только осваиваются с применением личных мобильных устройств, понимая, что данные должны быть защищены на обеих сторонах. Хотя за тенденцией BYOD, возможно, будущее, специалистам по безопасности надо еще до перехода в BYOD-среду обеспечить разработку и обсуждение правильных политик.
Чтобы разобраться во всех многогранных аспектах облачных вычислений, нужно время, однако еще больше времени может понадобиться на финальный этап — вникание в юридическую сторону вопроса и в содержание контракта. Специалисты по безопасности должны четко представлять себе, какие моменты охватывает контракт с облачным провайдером и что в нем в точности прописано. Им надо понимать уровень безопасности, обеспечиваемый провайдером, и уметь осуществлять его проверки и аудит, контролируя отсутствие дыр, открытых для внешнего мира.
На случай худшего сценария специалисты по безопасности должны знать и понимать политики и практику провайдера при возникновении брешей в защите. Чтобы всё это реально заработало, крайне важно, чтобы контракт оформлялся с их участием. Они должны участвовать в переговорах с провайдером, договариваясь о необходимых уровнях безопасности при одновременном удобстве работы с информацией.
Как это бывает с любыми новыми тенденциями, у облачных вычислений есть и плюсы, и минусы. Хотя невозможно полностью исключить вероятность появления дыр в безопасности или потери информации (что, как правило, может предотвратить проактивная работа ваших специалистов), преимущества облачных вычислений значительно перевешивают издержки и риски.
Защита информации, сохраняемой в облаке, не менее важна, чем замки на физических сейфах, и потому нужно серьезно позаботиться о соответствующем уровне безопасности, который поможет защитить вашу компанию от утечек и потери данных. Эта работа неизбежно требует времени на исследование облачных провайдеров, составление правильных вопросов и формирование эффективных политик безопасности.