"Bezpieczeństwo nie jest produktem lecz procesem"
Bruce Schneier , "Applied Cryptography"

Start | Forum | Reklama | O nas | Regulamin
Ocena dostawców modelu „cloud computing” pod kątem bezpieczeństwa danych
Piotr Błaszczeć   
sobota, 17 kwietnia 2010 07:25

cloudFirmy Symantec oraz Ponemon Institute, instytucja badawcza zajmująca się problemami ochrony prywatności i zarządzania informacjami, poinformowały o wynikach ankiety przeprowadzonej wspólnie wśród specjalistów IT.

Z badania wynika, że większość firm nie wdraża odpowiednich procedur i narzędzi zapewniających bezpieczeństwo ważnych danych przechowywanych w „chmurze”. Mimo istniejących problemów z zabezpieczeniami oraz spodziewanego rozwoju systemów rozproszonych, zaledwie 27 procent respondentów potwierdziło, że w ich przedsiębiorstwach stosowane są procedury zatwierdzania aplikacji działających w modelu „cloud” i wykorzystujących ważne lub poufne dane.

 

W przypadku większości organizacji różne grupy pracowników oceniają dostawców rozwiązań w „chmurze”.  
Aż 68 procent ankietowanych wskazało, że odpowiedzialność za ocenę dostawców takich usług spoczywa na użytkownikach i kadrze kierowniczej. Zaledwie 20 procent uczestników badania potwierdziło, że firmowe zespoły odpowiedzialne za bezpieczeństwo danych regularnie biorą udział w procesie podejmowania decyzji, a około 1/4 respondentów stwierdziła, że nigdy nie brała udziału w takich działaniach. Mimo to, 69 procent ankietowanych wskazało, że zespoły odpowiedzialne za ochronę danych lub działy IT powinny podejmować decyzje w zakresie wdrażania rozproszonych systemów obliczeniowych.

Wyniki ankiety potwierdzają, że pracownicy podejmują decyzje bez konsultacji z działami IT lub bez pełnej wiedzy na temat zagrożeń bezpieczeństwa. Tylko 30 procent respondentów ocenia dostawców usług w modelu cloud przed zainstalowaniem ich produktów.

Dodatkowe wyniki ankiety:

  • Działy informatyczne oceniają usługi w modelu „cloud” na podstawie zasłyszanych opinii (65 procent) oraz umów i gwarancji producentów (odpowiednio 55 i 53 procent). Zaledwie 23 procent firm wymaga od dostawców potwierdzeń zgodności zabezpieczeń z przepisami, takimi jak SAS 70. Co więcej, 18 procent respondentów polega na własnych ocenach zabezpieczeń, a zaledwie 6 procent korzysta z ocen dokonywanych przez specjalistów lub audytorów.
  • Według 75 procent ankietowanych migracja do rozwiązań w modelu „cloud computing” nie została zrealizowana optymalnie ze względu na brak kontroli nad użytkownikami końcowymi. Inne przyczyny takiej sytuacji to brak zasobów niezbędnych do przeprowadzenia prawidłowej analizy, brak nadzoru nad całym procesem oraz niski priorytet procesu ewaluacji.
  • Tylko 19 procent respondentów podało, że ich firmy organizują szkolenia w zakresie ogólnych zabezpieczeń danych w aplikacjach rozproszonych. Co więcej, 42 procent badanych potwierdziło,
    że ich firmy prowadzą szkolenia nt. bezpieczeństwa danych, jednak nie obejmują one usług w modelu „cloud computing”.

Zalecenia:

  • Polityki bezpieczeństwa i procedury powinny jednoznacznie wskazywać na rolę ochrony istotnych danych przechowywanych w „chmurze”. Przyjęta polityka powinna precyzyjnie określać, jakie informacje są uznawane za ważne i zastrzeżone.
  • Przedsiębiorstwa powinny wdrożyć strategię kontroli danych, obejmującą narzędzia i procedury klasyfikacji informacji. Firmy powinny również poznać zagrożenia, aby można było zastosować reguły definiujące, które usługi i aplikacje w modelu „cloud” są odpowiednie, a które nie powinny być stosowane.
  • Przed udostępnieniem ważnych lub poufnych informacji należy ocenić zagrożenia związane z innymi podmiotami. W ramach tej procedury dział informatyczny oraz specjaliści ds. bezpieczeństwa danych powinni przeprowadzić szczegółową analizę i audyt kwalifikacji dostawcy zabezpieczeń.
  • Przed wdrożeniem technologii w modelu „cloud computing” firmy powinny oficjalnie przeszkolić pracowników w jaki sposób unikać zagrożeń bezpieczeństwa oraz skutecznie chronić ważne i poufne informacje.

Ankieta „Governance in the Cloud: A Study of IT Practitioners” została przeprowadzona wśród 637 kierowników IT w średnich i dużych firmach amerykańskich (1000–25 000 pracowników), które wdrożyły platformy w modelu „cloud computing”. Badanie było sponsorowane przez firmę Symantec. Pełna kopia raportu „Flying Blind in the Cloud: The State of Information Governance” jest dostępna w witrynie internetowej firmy Symantec.\

[źródło: informacja prasowa]

« poprzednia   następna »
 

Dodaj komentarz

Użytkownicy portalu LOCOS.pl publikują swoje komentarze i opinie wyłącznie na własną odpowiedzialność. Komentarze internautów są ich prywatnymi opiniami i nie odzwierciedlają poglądów wydawcy oraz redakcji portalu. LOCOS.PL nie ponosi tym samym odpowiedzialności za treści zamieszczanych komentarzy i opinii.
Użytkownikom portalu LOCOS.pl zabrania się publikowania treści sprzecznych z prawem, wzywających do nienawiści rasowej, wyznaniowej, etnicznej, czy też propagujących przemoc.
Treści składające się na komentarz lub opinię użytkownika nie mogą zawierać wulgaryzmów ani słów powszechnie uznanych za obelżywe. Nie mogą zawierać również odnośników do innych stron www, a także danych osobowych, teleadresowych lub adresów e-mail.


Kod antysapmowy
Odśwież

Please update your Flash Player to view content.
 QUBER - get it free
RSS
feed-image LOCOS RSS
Popularne tagi
REKLAMA

bezp 180 x 230

graffiti

genealogia
Redaktor naczelny

Piotr BłaszczećPiotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej
e-mail: pb@locos.pl
www.blaszczec.pl

Oficjalni partnerzy firmy LOCOS i portalu LOCOS.PL:

securitymag_bw _boston _x-kom_old _dpconsulting-1 _btc
_cafe _hakin9 _logo_nsystem1 _centrum_bezp _ermis