Kto je teraz zodpovedný za cloudovú bezpečnosť?

Využívanie cloudových služieb za mnohých okolností získava podporu riadenia. Tento optimistický prístup však chýba v IT oddeleniach. V správe Ponemon sponzorovanej spoločnosťou Lumension za rok 2014 sa uvádza, že používanie cloud computingu, či už s podporou spoločnosti alebo zamestnancom, sa medzi respondentmi prieskumu - 19 001 odborníkov v oblasti IT v USA zvýšilo zúfalstvo. Nasledujúci obrázok ukazuje, že 44% respondentov (16% nárast od roku 2012 do 2013) identifikovalo využívanie zdrojov cloud computingu ako hlavný problém. Zamestnanci oddelenia IT uviedli množstvo obáv týkajúcich sa cloud computingu.

Zdroj: Správa o stave rizika koncového bodu za rok 2014

Kto je zodpovedný za údaje v cloude?

Správa pána Ponemona odzrkadľovala veľa toho, čo za posledných niekoľko rokov hovorili bezpečnostní odborníci. Čo ma zaujíma, kto je zodpovedný? Kto je na vine, ak sa niečo stane s údajmi spoločnosti, keď je v cloude? Dalo by sa očakávať najrôznejšie zmienky o tomto, ale nie sú. Menšie diskusie o zodpovednosti sa začali objavovať pred dvoma alebo tromi rokmi. Jediným skutočným záverom však bol „pozor kupujúceho“.

So zvyšujúcim sa znepokojením zamestnancov IT by mohlo byť dobré zistiť, či sa v oddelení zodpovednosti niečo nezmenilo. V roku 2012 som sa opýtal niekoľkých vedúcich pracovníkov na úrovni C. Počas rozhovorov som sa opýtal, koho si myslia, že je zodpovedný za zabezpečenie údajov spoločnosti sídliacej v cloude. Každý výkonný pracovník veril, že bezpečnosť údajov už nie je ich záujmom, keď boli údaje na serveroch niekoho iného.

Článok Businessweek z roku 2012, ktorý je zodpovedný za ochranu údajov v cloude? Sarah Frierová potvrdila môj nevedecký prieskum. V článku Frier citoval Mario Santanu Verizon Communication, ktorý povedal: „Niektoré podniky mylne predpokladajú, že keď sa rozhodnú ukladať údaje na externé servery, už sa nemusia starať o ochranu týchto informácií.“

Na základe zistení spoločností Ponemon a Businessweek sa v roku 2012 zistilo oddelenie medzi vedúcimi pracovníkmi na úrovni C a oddeleniami IT. Rýchly posun vpred o dva roky a to, čo hovoria vedúci firiem a odborníci v oblasti IT o bezpečnosti a kto je zodpovedný za údaje spoločnosti, ktoré boli zverené poskytovateľovi cloudových služieb, sa zmenilo.

Čo sa v roku 2014 líši?

V apríli 2014 vydal Ponemon Institute svoju tretiu výročnú štúdiu Trends in Cloud Encryption Study sponzorovanú spoločnosťou Thales e-Security. Prieskum spoločnosti Ponemon sa pýtal na 4 275 obchodných a IT manažérov v Spojených štátoch, Spojenom kráľovstve, Nemecku, Francúzsku, Austrálii, Japonsku, Brazílii a Rusku. Hlavným cieľom prieskumu bolo skúmať, ako organizácie chránia svoje údaje, keď sa poskytujú poskytovateľom cloudových služieb.

Vedci spoločnosti Ponemon položili účastníkom dve otázky, ktoré sú dôležité pre túto diskusiu:

• Aké percento organizácií prenáša citlivé alebo dôverné údaje na externé cloudové služby?
• Kto je zodpovedný za ochranu citlivých alebo dôverných údajov prenášaných poskytovateľom cloudových služieb?

Najprv sa pozrime, aké percento organizácií posiela poskytovateľom cloudových služieb citlivé a dôverné údaje. Nasledujúci obrázok ukazuje, že v prieskumnom roku 2013 prenieslo citlivé údaje do cloudu 53% opýtaných, 36% to urobí do dvoch rokov a 11% nevyužívalo poskytovateľov cloudových služieb. Zaujímavé je, že výsledky za posledné tri roky zostali podobné.

Zdroj: Trends In Cloud Encryption

Kto bol v sledovanom roku 2013 najviac zodpovedný za ochranu citlivých alebo dôverných údajov prenesených na poskytovateľa cloudových služieb? Záleží. Účastníci prieskumu uviedli, že zodpovednosť závisí od typu poskytovanej cloudovej služby - SaaS alebo IaaS / PaaS. Nasledujúci obrázok zobrazuje názory respondentov na to, kto bol zodpovedný, keď spoločnosť používala prostredie SaaS. V roku 2013 považovalo poskytovateľ cloudu za zodpovedných za bezpečnosť 54% používateľov a 24% používateľov cloudových služieb za zodpovedných, zatiaľ čo 19% malo pocit, že by sa malo zdieľať zodpovednosť. (Viac informácií o výbere medzi IaaS a PaaS: Čo potrebujete vedieť.)

Zdroj: Trends In Cloud Encryption

Nasledujúca snímka zobrazuje názor respondenta na to, kto bol zodpovedný, keď spoločnosť používa prostredie IaaS / PaaS. V roku 2013 považovalo bezpečnosť 47% používateľov za spoločnú zodpovednosť, 26% používateľov cloudových služieb považovalo za zodpovedných a 22% malo pocit, že je to zodpovednosť poskytovateľov cloudových služieb.

Zdroj: Trends In Cloud Encryption

Spodný riadok? Veci sa zmenili. Zdá sa, že postoj kupujúceho sa dozrel spolu s produktmi cloudových služieb. Ale ako mi povedal internetový dôvtipný právnik, zodpovednosť je určená zmluvami, nič viac alebo nič menej. To je niečo, čo by mali mať na pamäti všetci tí, ktorí sa podieľajú na cloudových službách.