Переходим в «облако»: 5 советов, как уберечь информацию от посторонних

Вадим Галлямшин, Сергей Казаков 12 февраля 2014

Перенос информационных ресурсов в «облако» актуален для компаний, которым важно, чтобы сотрудники из любой точки мира имели доступ к почте и оперативно решали рабочие вопросы. Однако при размещении информации в «облаке» на ресурсах провайдера остро встает вопрос безопасности данных. Стоит ли рисковать данными ради мобильности? Или лучше ограничиться их обработкой в локальной сети?

Как показывают исследования, почти 30% компаний отказываются  размещать информационную систему в «облаке», чтобы минимизировать риски утечки конфиденциальных данных. Понять их можно: если на проблемы информационной безопасности в локальной сети можно временами закрывать глаза, то в «облаке» многое становится приманкой для взломщиков. Например, если в компании используются слабые пароли (12345 или qwerty) или вообще не используются, то в локальной сети злоумышленнику, желающему получить доступ к информации, необходимо сначала пробиться через сетевой экран, которым локальная сеть ограждается от негативной внешней среды. В сервисном «облаке» проблема уязвимости и слабых паролей практически у всех на виду.

Вообще в утечке конфиденциальных данных в большинстве случаев виноваты не столько хакеры, сколько сами люди, специально или по неосторожности совершающие действия, которые могут иметь негативные последствия для компании.

Типичная ситуация: сотрудник случайно отправляет письмо с важной внутрикорпоративной  информацией не тому адресату. Или же, наоборот, специально продает ее конкуренту за хорошее вознаграждение.

Существует множество доводов в пользу облачных технологий и их безопасности.  Но человеческий фактор никто не отменял. Никто не может быть на 100% уверен в том, что сотрудник будет каждый раз корректно выходить из программы или не будет пользоваться сервисом на общественном компьютере. Любые самые продвинутые технологии окажутся бессильны, если кто-то действительно захочет похитить ценную информацию.

Следует ли из этого вывод, что бизнес должен лишать себя новых возможностей, которые сопряжены с некоторыми рисками утечки информации? Скорее нет, чем да. Очевидно, что популярность облачных технологий растет из года в год, с их помощью доступ к информации стал проще, поэтому люди теперь чаще хранят важные документы не на флешках, а в «облаке», куда можно попасть из любой точки мира. Даже бухгалтерию сегодня можно вести в «облаке» и отправлять весь комплект необходимых бумаг в электронном виде в ФНС, не выходя из офиса.

При переводе информационных ресурсов в «облако» гораздо разумнее подумать о снижении вероятности возникновения утечки данных, ответственнее отнестись к процессу, просмотреть всю цепочку действий по обеспечению безопасности информации. Чтобы оценить, насколько информационная система или сервис защищены, организации часто проводят аудит информационной безопасности.

Итак, на что именно следует заострить внимание компаниям, которые хотят перенести данные в «облако»?

1. Оцените риски: все ли подразделения компании смогут беспрепятственно работать с данными, перенесенными в «облако»

Например,  отсутствие широкополосного доступа может стать препятствием для качественной работы сервисов. Переход в «облако» подразумевает в некоторой степени модернизацию бизнес-процессов. Если вы готовы к этому, то – хорошо. Если нет — с переносом данных лучше повременить.

2. Выбирайте в качестве провайдера крупного игрока с опытом работы на рынке

Имейте в виду, что если у провайдера не предусмотрены механизмы действий на случай прекращения деятельности, банкротства или физического уничтожения серверов и ресурсов, то часть вашего бизнеса, заложенного в этих сервисах, исчезнет.

3. Внимательно читайте условия договора с провайдером

На некоторые пункты нужно обратить особое внимание. Во-первых, обговорите гарантию возвращения данных на случай прекращения деятельности оператора. Во-вторых, пропишите в договоре условие удаления данных в ситуации разрыва отношений с провайдером.

4. Оцените качество сервиса, которое обещает оператор, проверьте, как он будет гарантировать соблюдение прописанных условий

Это касается любых информационных систем, а не только решений по безопасности. Что касается коммерческой тайны, то должна быть предусмотрена ответственность оператора за ее нарушение. Это условие недостаточно прописать, лучше еще проверить, сможет ли оператор его выполнить.

5. Пересмотрите стратегию обеспечения безопасности

Этот совет адресован непосредственно руководителям, ответственным за информационную безопасность, так как им придется заново пересматривать весь пакет документов по информационной безопасности компании. Если пакета нет, это как раз повод его создать.

В отличие от локальной сети, в «облаке» возможны ошибки другого рода, связанные с изменением периметра информационной безопасности и появлением провайдера.

Руководитель службы должен ответить на ряд вопросов. Как будет контролироваться выполнение согласованных критериев качества? Как компания будет проверять, что данные действительно находятся в безопасности? Помните о том, что контроль провайдера — это важная часть работы, требующая регламентации, поскольку поставщик услуг может столкнуться с проблемой отзыва лицензии или отказа в ее продлении, не ставить вовремя обновления защитного ПО и т д.

Важно понимать и то, как будут защищаться данные в момент передачи их на сервер провайдера. Если процесс происходит через интернет, данные лучше зашифровать, иначе информация может попасть в чужие руки.

Вадим Галлямшин,
руководитель проектов внедрения систем информационной безопасности «СКБ Контур»
Сергей Казаков,
руководитель группы администрирования информационной безопасности «СКБ Контур»


Поделиться
Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
1038 просмотров
В избранное
Комментарии Написать свой
Спасибо за ваше мнение!

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.