Přeskočit na obsah
Industry blogy společnosti Microsoft

Cloud je bezpečnou bankou pro data
Hovoříme-li o využívání cloudových služeb pro firemní účely, spíše dříve než později se zvedne hlas, který zpochybňuje bezpečnost takového nápadu. Je to naprosto přirozené, protože pro řadu firem jsou data rodinným stříbrem. Přijít o ně hraničí s fyzickou likvidací firmy. Nikdo si opravdu nedovede představit, že by přišel o všechny informace o svých klientech, obchodní smlouvy nebo o kompletní výrobní data. Ještě horší může být ztráta velmi citlivých dat, ať už jde o osobní data nebo třeba o konstrukční dokumentaci nových výrobků před jejich patentováním. Pokud by je například získala konkurence, může být letitá investice do vývoje nových produktů zcela zmařena.

Jsou-li data pro firmu opravdu tak kritická, vytváříme vždy dostatečně bezpečné prostředí pro jejich ukládání? Ba co více, jsme schopni prokázat, že k ohrožení nemůže dojít zvenku ani zevnitř firmy?

Banka je jasná volba
Osobně chápu data jako peníze. Mimochodem tento příměr se stává doslova realitou, pokud se podívám na poslední vývoj na poli nových kryptografických měn. Vraťme se ale k běžným penězům. Dnes již nikdo nepřemýšlí, kam je uloží. Banka je bezpečným přístavem. Jediné rozhodnutí, které činíme, je výběr kvalitního ústavu s garantovanou ochranou, širokým portfoliem služeb a odpovídající dostupností.
S ukládáním dat ve veřejném cloudu je to podobné. Jde o místo, které je v mnoha případech bezpečné, ale opatrnost při výběru konkrétního provozovatele je plně na místě. Ne každá firma nabízející cloudové služby nebo hotové aplikace formou pronájmu, má nejvyšší možnou úroveň ochrany informací a vyhovuje všem regulatorním požadavkům. Stejně tak jako bankovní domy musí procházet s naprostou pravidelností řadou kontrol včetně velmi přísných zátěžových testů. Bezpeční poskytovatelé cloudu musí podléhat v principu obdobným procesům, aby byli schopni transparentně prokázat kvalitu zabezpečení a odolnost proti případnému napadení a pokusům o zcizení, nebo o poškození uložených klientských dat.

Důvěřuj, ale prověřuj
Jak ale poznat, že vybraný poskytovatel cloudových služeb je bezpečný? Velká značka a světové jméno ještě nemusí být jednoznačnou garancí. Prvním krokem, který bychom neměli ignorovat, je dobře si přečíst obchodní ujednání při zřizovaní služby. Ano, bývají dlouhá a napsaná ne vždy jednoduše srozumitelným jazykem. Mávnutím rukou nad jejich obsahem ale možná dáváte souhlas k dolování informací z vašich dat.
Obchodní ujednání s kvalitně definovanou ochranou zákaznických dat není ale dostačující. Celosvětově existuje řada bezpečnostních norem, certifikací a atestů, které poskytovatelé pro svá datová centra a cloudové služby mohou získat. Pro členské země EU pak platí ještě dodatečné požadavky vztahující se k ochraně osobních informací. V neposlední řadě je to i národní regulace, jako v případě České republiky čerstvě platný zákon o kybernetické bezpečnosti. V tomto kontextu je vhodné zmínit nový mezinárodní standard pro ochranu osobních informací v cloudu, založený na EU zákonech pro ochranu dat – ISO 27018. Subjekty, které jsou v souladu s tímto standardem, musí například explicitně vyžadovat souhlas uživatele pro užití jeho dat k marketingu nebo inzerci, informovat uživatele, kde jsou jeho data a jakým způsobem se zpracovávají. V případě bezpečnostních incidentů prověřit, zda nedošlo k úniku osobních údajů a pokud ano, musí informovat uživatele a regulátora. V současné chvíli tomuto velice striktnímu standardu vyhovuje pouze malé množství cloudových poskytovatelů a společnost Microsoft byla první, která tuto certifikaci získala. Druhou bezpečnostní regulací, která dopadá na české zákazníky, je účinnost nového zákona o kybernetické bezpečnosti. Pro jeho splnění musí provozovatel ideálně naplnit požadavky vyjádřené standardem ISO 27001. Získat oba typy certifikací, ale i řadu dalších, je pro vlastní IT oddělení v běžných organizacích téměř nemožné. Ať už z důvodu komplexnosti, především ale z důvodu celkových nákladů.

Nenechme se ani uvést ve falešný pocit řadou na první pohled technologicky zdatných poskytovatelů hostingových služeb, vydávající některé technické funkce za dostatečný prvek bezpečnosti. Skutečná bezpečnost je souborem technologií, procesů a důvěryhodných certifikací a atestů.

Banku také dnes používáme, abychom mohli bezpečně uložit své peněžní prostředky a s daty je to stejné.