_ - Co trzeba wiedzieć o bezpieczeństwie przetwarzając firmowe dane w chmurze? Jakie jest ryzyko dla naszego biznesu, jak je eliminować? _
Tematyka bezpieczeństwa IT to rzeczywiście bardzo nośny temat w ostatnim czasie. Jeszcze do niedawna pokutowało przekonanie, że chmura to rozwiązanie, które nie do końca jest bezpieczne. Obecnie coraz więcej szefów firm doskonale wie, że to od wyboru partnera zależy, czy model chmurowy będzie bezpiecznym rozwiązaniem dla ich przedsiębiorstwa. Pozwala to wyeliminować 99 proc. ryzyka, które może się pojawiać przy przetwarzaniu danych w chmurze.
Biorąc pod uwagę wieloletnie doświadczenie w branży IT, trudno mi uwierzyć, że jakakolwiek firma niespecjalizująca się w przetwarzaniu danych jest w stanie zagwarantować sobie poziom zabezpieczeń fizycznych i informatycznych w obrębie serwerowni podobny do tego, jakim dysponują duże centra danych. Gdy za bezpieczeństwo usług chmurowych odpowiada konkretny ośrodek można śmiało powiedzieć, że takie usługi są bezpieczniejszym rozwiązaniem, o tyle, o ile sam ośrodek jest bezpieczny.
Data center, takie jak Polcom, są w stanie zapewnić swoim klientom dostępność na poziomie 99,999%, spełniając najwyższe normy zabezpieczeń. Jak wynika z ostatnich analiz firmy Gartner, w 2018 roku to właśnie kwestia bezpieczeństwa danych będzie stanowiła główny powód, dla którego organizacje rządowe będą podejmowały decyzje o wykorzystywaniu zasobów chmurowych. Taki trend zaczyna być już też widoczny w Polsce, a można przypuszczać, że to dopiero początek.
_ - Które technologie umożliwiają i ułatwiają korzystanie z chmury, które zabezpieczają dane? Jaka infrastruktura jest potrzebna? _
Zasadniczo chmura nie wprowadza poważnych zmian w zakresie technologii. Tak jak w przypadku budowy tradycyjnej infrastruktury informatycznej, tak i w przypadku środowisk cloudowych najlepiej radzą sobie popularne i wydajne technologie zoptymalizowane pod kątem obsługi chmur obliczeniowych, których podstawę sprzętową stanowią procesory Intel Xeon. Zmianie podlegają raczej drobne założenia odnośnie architektury, a w większym stopniu procesy czy otoczenie, takie jak np. licencjonowanie.
Praktyka stosowana u nas i która ma odzwierciedlenie w naszej infrastrukturze, jest bardzo prosta: wybieramy najwydajniejsze rozwiązania dostępne na rynku. Dlatego, jeśli mamy do wyboru na przykład serwery z procesorami firmy X oraz takie, które działają na Intel Xeon, to wybór jest dla mnie oczywisty – wybieram intelowskie, bo są najbardziej wydajne.
_ - Na jakie pytania powinna sobie odpowiedzieć każda firma decydująca się na model chmurowy? _
Jedno z pierwszych, kluczowych pytań to, czy dostawca usług cloudowych ma własny ośrodek przetwarzania danych? Odpowiedź na nie jest istotna, ponieważ definiuje, jaki jest poziom odpowiedzialności dostawcy za infrastrukturę, na której jest świadczona usługa. Wybór dostawcy, który jest w stanie samodzielnie zarządzać swoją infrastrukturą minimalizuje ryzyko tego, że w sytuacjach krytycznych, takich jak awaria w działaniu systemu może on uchylać się od brania odpowiedzialności.
Warto zapytać swojego dostawcę, w jakim systemie prawnym będzie świadczona usługa. Ma to duże znaczenie przy określaniu zasad, według których powinno odbywać się przetwarzanie danych. Na przykład, jeśli klient jest podmiotem polskim, a dostawca usług chmurowych zagranicznym lub jego centrum danych jest zlokalizowane poza granicami kraju, to określenie systemu prawnego, według którego będą rozstrzygane ewentualne spory między stronami, może okazać się problematyczne. Musimy być świadomi wymagań prawnych dotyczących przepływu danych między poszczególnymi państwami. Należy na to zwrócić uwagę, ponieważ nawet w Unii Europejskiej kwestia ochrony praw osobowych nie jest jednolita, a systemy poza Unią często bazują na skrajnie innych założeniach niż te, które przyjęto w Polsce. Nawet jeśli ochrona danych osobowych w ramach świadczonej usługi będzie zgodna z przepisami unijnymi, to i tak musimy respektować normy wyznaczone przez polskie GIODO. To absolutna podstawa. Polecam lekturę krótkiego dokumentu,
opublikowanego przez GIODO: „_ Dekalog chmuroluba _”. <http://www.giodo.gov.pl/259/id_art/6271/j/pl>
Zawsze pytajmy o kwestie zarządzania ciągłością działania. Czy sama architektura rozwiązania chmurowego jest bezpieczna? Czy, jeśli w skrajnym przypadku podstawowy ośrodek data center przestanie funkcjonować, inny będzie w stanie przejąć jego funkcję? Co się dzieje z danymi w przypadku awarii? Ciągłość działania jest niezwykle ważna, szczególnie w przypadku firm, dla których wstrzymanie produkcji może być kosztowne lub wiązać się z innymi poważnymi konsekwencjami. Odpowiedź na powyższe pytania może nam pomóc w wyeliminowaniu zbędnych ryzyk już na samym początku, czyli jeszcze przed podpisaniem umowy.
Zaproponowany zestaw pytań, to tak naprawdę nic nowego, ponieważ podobne należałoby zadać, wybierając partnera do bezpiecznego kolokowania sprzętu w centrum danych. Podsumowując, niezależnie od tego czy wybieramy konkretną infrastrukturę czy środowisko chmurowe, przy podejmowaniu decyzji zawsze powinniśmy stawiać na dostawców oferujących usługi oparte na sprawdzonych, bezpiecznych i nowoczesnych technologiach.
Materiał przygotowany we współpracy z firmą Intel