Je cloud bezpečný? Na co si dát pozor.

Cloudové služby nad městem je mrak ze kterého prší čísla

Cloudové služby do současného IT prostě patří. Můžete se tomu bránit, můžete naříkat, ale je to jen otázka času, kdy podlehnete. Jako lidé jsme podlehli už dávno – s první založenou e-mailovou schránkou.

Firmy podléhají postupně, právě díky „nekalé“ činnosti uživatelů, kteří cloudové služby používají tak nějak přirozeně, protože jsou na to zvyklí z domova.

Příklad z praxe:

Potřebujete poslat zákazníkovi větší soubor? Máte dvě možnosti – požádat vaše interní IT o vytvoření ftp a nasdílení přístupů a práv. (Tedy pokud jako obyčejný uživatel tušíte o co jde.) Nebo to prostě dáte na uloz.to (dropbox, uschovna.cz, …) v lepším případě v zašifrovaném zipu, v tom druhém případě „prostě v zipu“.

S cloudy je potřeba se smířit. A začít je řídit.

To může být kamen úrazu, protože cloud je často vnímán buď jako „dobrý a bezpečný“. Nebo jako druhý extrém – „nebezpečný a neřiditelný“. Málokdy se setkáte s nějakým středovým názorem. Jako by téma cloudu rozdělovalo společnost stejně spolehlivě, jako politika.

Otázka dostupnosti

Cloudové služby jsou dostupné „pořád“ a „nafurt“, to je přeci jasné. Tedy, dokud máte připojení k internetu. Přesto doporučuji, abyste se podívali na smlouvou slíbenou dostupnost. (A zamysleli se, jestli je pro vás 99,5 % hodně nebo málo?)

Pro srovnání – server u vás ve firmě by měl dostupnost 99,671 %, bráno podle standardu v datových centrech.

Zálohy v cloudu nebo mimo něj?

Ano, cloudové služby zálohují. Pořád je ale ve vzduchu ona otázka: „co se stane, když ta firma přestane existovat“? Budete mít vy své zálohy u sebe ve stavu, kdy jsou použitelné i bez cloudové služby?

cloudové úložiště a vše co je v něm uložené

Integrita – šifrujte svá data před vložením do cloudu

Smluvní doložka o mlčenlivosti je v drtivé většině případů naprostou samozřejmostí. Nicméně pokud se držíte pravidla „důvěřuj, ale prověřuj“, zvažte, jestli je možné data ukládaná do cloudu šifrovat. A to samozřejmě předtím, než je na cloud vložíte.

Tím získáte jistotu, že správci cloudu k vašim datům nebudou mít přístup. Pokud budete chtít data z cloudu nenávratně smazat (znepřístupnit), pak prostě zahodíte šifrovací klíče.

Pouhé smazání dat není od určité úrovně citlivosti dat dostatečné. Prostě protože vaše data jsou součástí záloh. A díky geoclusteringu mohou být po celém světě. Toto řešení bohužel nelze uplatnit například při ukládání dat do cloudového účetnictví nebo CRM.

Důvěrnost

Řízení přístupových práv do cloudu se často podceňuje. Ve spoustě firem platí, že „co řídí Active Directory, to máme vyřešené a zbytek jsme poručili Pánu Bohu a náhodným akcím“.

Zavedení procesu „řízení přístupu“ je pro mnoho lidí něco jako smrtelná urážka. (Tady myslíme třeba ustanovení zodpovědné osoby za správu a rozsah přístupových oprávnění a pravidelnou revizi těchto oprávnění).

Pro zvýšení bezpečnosti přístupů do cloudu (protože uživatelé mají často slabá hesla) je dobrý nápad zapnout dvoufaktorovou autentizaci tam, kde je to možné.

Bezpečnost uvnitř cloudu

Zeptám se vás: pokud používáte cloud, jakým způsobem jej chráníte před útoky zvenčí? Ve firmě nejspíš používáte firewall. U cloudu se lidé nejčastěji spoléhají na to, že přístupy „někdo, nějak“ chrání. Prostě, že je to bezpečné.

Bezpečnost uvnitř cloudu

Jak je taková bezpečnost řešená, popsaná a smluvně garantovaná?

Další otázkou je, jak je cloudová infrastruktura chráněna před malwarem, který někdo zanese do cloudu? (Zde je paralela s virtuálním prostředím nebo s vnitřní sítí organizace.)

Jsou v cloudu nějaké ochrany nebo bude mít malware naprosto volné pole působnosti? (Můžete si to představit ve velké infrastruktuře, ale platí to taky pro Office 365).

Závěrem

Cloudy se používají a používat budou. Proto je dobré klást si otázky v souvislosti s jejich využíváním a hledat na ně odpovědi. Některé otázky jsme nastínili v tomto článku, mnohé další vás jistě napadnou.

Přemýšlejte nad zabezpečením svých dat komplexně a s vědomím toho:

  • co se může stát, pokud o ně přijdete,
  • kolik peněz a času vás bude stát jejich obnova.

Podle toho plánujte i rozpočet na jejich ochranu. Pokud si nejste v těchto otázkách jistí, neváhejte a napište si o konzultaci s našimi odborníky.

Táta a nadšenec. Pokud se nevěnuje informační bezpečnosti a IT bezpečnosti v práci, nejspíš ho najdete doma s rodinou. K IT bezpečnosti se dostal náhodou v roce 2010, od té doby se systematicky vzdělává a hledá nové podněty pro zlepšení zabezpečení zákazníků. Rád popularizuje kybernetickou bezpečnost na konferencích. Ve zbytcích volného času pomýšlí na Ironmana.

Stáhněte si e-book ZDARMA

7 častých pastí hackerů

Získejte šikovný tahák, na co se nejčastěji nechají vaši zaměstnanci nachytat. Jaké taktiky hackerů zaručeně fungují?