Podniky mají většinu citlivých dat (83 %) již uloženu ve veřejných cloudech a 69 % organizací se domnívá, že jimi používaný veřejný cloud je zabezpečený dostatečně.
Podle poslední celosvětové studie společnosti McAfee (Navigating a Cloudy Sky: Practical Guidance and the State of Cloud Security) je cloud, ať už soukromý, veřejný nebo hybridní, všudypřítomný a využívá ho 97 % podniků. Průzkumu provedeného mezi IT profesionály se přitom účastnila i řada firem z oblasti finančních služeb nebo zdravotnictví, tedy takových, které mají na bezpečnost speciální požadavky.
Srovnání ukazuje, že před rokem se v případě využívání cloudu jednalo o 93 % organizací. Samotná změna již tedy není příliš velká, zvyšuje se spíše intenzita využívání cloudových služeb. V cloudu se provozují kritické aplikace a ukládají nejdůležitější data, ovšem každá čtvrtá organizace zaznamenala v tomto prostředí únik dat a každá pátá uvádí, že její cloudové prostředí se stalo terčem pokročilého útoku. Jako hlavní problém v této souvislosti firmy uvádějí nedostatečný přehled nad svými cloudovými službami, nemožnost tak prostředí spravovat a mít nad daty dostatečnou kontrolu (bez ohledu na to, zda se jedná o režimy SaaS, PaaS nebo IaaS).
Řada podniků soudí, že i přes tyto problémy a rizika jsou další výhody cloudu takové, že se stejně vyplatí v rychlé migraci do cloudu pokračovat. Moderní bezpečnostní nástroje dokáží tato rizika do značné míry eliminovat. Firmy mohou získat přehled nad celým prostředím i zabezpečit svá data. Migrace do cloudu by úroveň zabezpečení v ideálním případě měla naopak zlepšit.
Nové projekty v režimu cloud-first
Většina respondentů zastává strategii „cloud-first“, tedy nové projekty by měly primárně počítat se svým nasazením v rámci cloudu, alespoň pokud se nenajdou důvody k jinému přístupu.
Využívání cloudu je pochopitelně spojeno s tím, že se zde ukládají i citlivé informace – pouze 16 % respondentů má politiku nastavenou tak, aby se tato data uchovávala pouze na vlastní infrastruktuře. V cloudu bývají uložena data o zákaznících i zaměstnancích (osobní údaje zde ukládá 61 % organizací), údaje o platebních kartách, zdravotnické záznamy i interní dokumenty (40 %) včetně těch, které pro podnik představují klíčové duševní vlastnictví (30 %).
Doporučené postupy pro větší bezpečnost
Z výše uvedených důvodů doporučujeme zavést pro cloud striktní segmentaci dat – tedy např. oddělení dat, k nimž mají přístup jednotlivá oddělení/uživatelé – a jejich klasifikaci podle stupně citlivosti. Při klasifikaci lze využívat automatizované i ruční metody, přičemž na identifikaci a klasifikaci aktiv by se měla podílet všechna oddělení firmy. Nasadit je třeba nástroje pro integraci dat napříč cloudem i vlastní infrastrukturou. Pro tyto účely jsou k dispozici i specializovaná řešení CASB (Cloud Access Security Brokers, zprostředkování zabezpečeného přístupu ke cloudu). Řešení CASB přitom dokáží spolupracovat s většinou systémů DLP (prevence ztráty dat).
Cloudu se netřeba obávat kvůli tomu, „zde nikdo nerozumí všemu“. V rámci moderního IT se stejně nasazují nástroje pro automatizaci. Provoz IT bude tak jako tak založen na spolupráci mezi lidskými experty a automatizovanými nástroji. Podniky by se nicméně měly neustále snažit o integraci prostředí. Čím více různých bezpečnostních nástrojů používají, tím větší je pravděpodobnost, že mezi nimi vzniknou mezery. Jednotná platforma pro řízení cloudů různého typu umožňuje kromě bezpečnosti i efektivnější využívání těchto služeb.
Dále by organizace měly přijímat moderní metody, které zvyšují flexibilitu podnikání. Integraci vývoje, nasazování a správy/provozu aplikací (DevOps) lze přenést i do oblasti zabezpečení (SecDevOps). Propojený systém vývoje, testování/zajišťování kvality a bezpečnostních procesů povede k dalšímu zvyšování kvality aplikací a omezí množství bezpečnostních zranitelností. Režim DevOps/SecDevOps může přitom vyžadovat propojení mnohdy nezávisle pracujících týmů nebo i další reorganizaci struktury podniků a jejich vnitřních procesů.
Aleš Pikora, ředitel divize DataGuard
PCS, spol. s r. o.
