Z ankiety Symanteca oraz Ponemon Institute, przeprowadzonej wśród ponad 600 kierowników IT w średnich i dużych, czyli zatrudniających od 1 tys. do 25 tys. osób, amerykańskich przedsiębiorstwach, które wdrożyły cloud computing, wynika, że tylko w nieco ponad jednej czwartej firm stosowane są narzędzia do zabezpieczania poufnych danych. Być może przyczyną niefrasobliwości jest fakt, że pracownicy podejmują decyzje bez konsultacji z działami IT, a poza tym nie zawsze wiedzą, że ochrona jest niezbędna.

DECYDUJĄ NIEWŁAŚCIWI LUDZIE

W zaledwie co piątym przedsiębiorstwie osoby odpowiedzialne za bezpieczeństwo danych biorą udział w podejmowaniu decyzji dotyczących wprowadzania procedur związanych z ochroną zasobów. Co gorsza, w co czwartej firmie nigdy nie mieli na nie wpływu. W prawie 70 proc. dużych i średnich spółek to użytkownicy i kadra zarządzająca oceniają dostawców tego rodzaju rozwiązań. Jednocześnie pracownicy niemal 70 proc. przedsiębiorstw, w których zostało przeprowadzone badanie, uważają, że decyzje w zakresie wdrażania rozproszonych systemów obliczeniowych powinny podejmować zespoły odpowiedzialne za ochronę danych lub działy IT. W dwóch trzecich badanych firm działy IT oceniają usługi w cloud computingu na podstawie zasłyszanych opinii, a w ponad połowie – na podstawie umów i gwarancji producentów. Zaledwie w niecałej jednej czwartej przedsiębiorstw od dostawców wymaga się potwierdzeń zgodności zabezpieczeń z przepisami. Blisko co piąty ankietowany ocenia zabezpieczenia według własnego widzimisię, a tylko 6 proc. bierze pod uwagę zdanie specjalistów lub audytorów. Trzy czwarte ankietowanych uważa, że ze względu na brak kontroli nad użytkownikami końcowymi migracji do rozwiązań rozproszonych nie zrealizowano optymalnie. Pozostali sądzą, że brakowało zasobów niezbędnych do przeprowadzenia prawidłowej analizy i nadzoru nad całym procesem migracji, a także nie przywiązywano właściwej wagi do ewaluacji. Tylko w co piątej firmie organizowane są szkolenia w zakresie ogólnych zabezpieczeń danych w cloud computingu. Z kolei w dwóch piątych tych przedsiębiorstw, w których organizowane są warsztaty na temat bezpieczeństwa, nie przekazuje się wiedzy o usługach związanych z cloud computingiem.

OCENIĆ ZAGROŻENIA I PRZESZKOLIĆ

Autorzy raportu Symanteca i Ponemon Institute po przeanalizowaniu wypowiedzi respondentów przygotowali dla firm kilka zaleceń dotyczących dbałości o bezpieczeństwo w aplikacjach rozproszonych. Ich zdaniem przyjęta przez przedsiębiorstwa polityka powinna prze-de wszystkim precyzyjnie określać, jakie informacje są uznawane za ważne i zastrzeżone. Jednocześnie warto, aby polityka bezpieczeństwa, a także przyjęte w firmie procedury, jednoznacznie podkreślały rolę ochrony istotnych danych przechowywanych w chmurze. Ponadto uważają, że należy się dowiedzieć, na jakie ryzyko można się narazić. Wtedy łatwiej zdecydować, które usługi i aplikacje w cloud computingu są odpowiednie, a które nie powinny być stosowane. Dobrze by było wdrożyć w firmach strategię kontroli danych, obejmującą narzędzia i procedury klasyfikacji informacji. Analitycy są też zdania, że przed udostępnieniem ważnych lub poufnych informacji trzeba ocenić zagrożenia związane z innymi podmiotami. W ramach tej procedury dział informatyczny oraz specjaliści ds. bezpieczeństwa danych powinni przeprowadzić szczegółową analizę i audyt kwalifikacji dostawcy zabezpieczeń. Z kolei przed wdrożeniem rozwiązań cloud computingu należy koniecznie pomyśleć o przeszkoleniu pracowników w zakresie unikania zagrożeń oraz skutecznej ochrony ważnych i poufnych informacji. Aby firmy były pewne, że ich służbowe dane są bezpieczne, infrastruktura do ochrony informacji dostarczana przez dostawców cloud computingu powinna być transparentna dla enduserów.

Maciej Iwanicki
Senior Systems Engineer w Symantecu

Cloud computing umożliwił firmom dostarczanie nowych, przydatnych usług biznesowych i korzystanie z nich. Jak pokazuje nasze badanie, przeprowadzone wspólnie z instytutem Ponemon, duża część przedsiębiorstw chętnie podążyła za tym trendem, ale jednocześnie nie zastosowała odpowiedniej polityki bezpieczeństwa i nie przeprowadziła wnikliwej oceny dostawców usług w chmurze. Firmy decydujące się na zastosowanie cloud computingu powinny wdrożyć system kontroli danych obejmujący narzędzia i procedury klasyfikacji informacji. Dobrze by było również, aby poznały wszelkie zagrożenia w celu ustalenia zasad określających, które usługi i aplikacje w cloud computingu są dla nich odpowiednie, a których nie warto używać. Nie bez znaczenia pozostaje ocena usługodawcy. Zadaniem działu informatycznego oraz specjalistów ds. bezpieczeństwa danych jest przeprowadzenie szczegółowej analizy i audytu kwalifikacji takiego dostawcy, szczególnie w zakresie stosowanych zabezpieczeń. Poza tym przed wdrożeniem rozwiązań typu cloud computing przedsiębiorstwa powinny oficjalnie przeszkolić pracowników, aby wiedzieli, w jaki sposób unikać zagrożeń oraz skutecznie chronić ważne i poufne informacje.
Masami Yamamoto
prezes Fujitsu Limited

Cloud computing to sposób na udostępnianie zasobów w sieciach, dzięki komputerom o dużej mocy obliczeniowej i terminalom zawierającym dane. To wielki krok naprzód w realizowaniu wizji utworzenia inteligentnej społeczności. Środowiska w chmurze będą działać jako obszerne repozytoria danych zebranych ze zdalnych czujników i terminali mobilnych. Dane te, analizowane w środowisku rozproszonym lub centralnie, z zastosowaniem superkomputerów, są wykorzystywane do świadczenia usług mających zaspokajać ludzkie potrzeby. Cloud computing pomaga w zastosowaniu rozwiązań teleinformatycznych do zadań, do których nigdy nie były używane, np. w rolnictwie. Fujitsu wraz z przedsiębiorstwami z tej branży wzięło udział w japońskich pilotażowych projektach wykorzystujących cloud computing do zmodernizowania przemysłu rolniczego, kształcenia młodych rolników i ochrony konsumentów.
BPOS MICROSOFTU

Od kilku tyodni Microsoft promuje oprogramowanie w ramach abonamentu – jest to usługa BPOS (Business Productivity Online Standard Suite). Producent zebrał w pakiecie następujące programy: Exchange Online, SharePoint Online, Live Meeting i Office Communications Online. Innowacja polega na tym, że klienci nie muszą kupować pełnej licencji, by używać tych aplikacji. Mogą mieć do nich dostęp za miesięczny abonament w wysokości 8,52 euro od użytkownika za komplet aplikacji (płatne kartą kredytową lub przelewem na konto Microsoftu w Irlandii). – Firmy mogą skorzystać z kalkulatora, który znajduje się na stronie www.microsoft.com/online, by obliczyć koszty dla określonej liczby stanowisk pracy – mówi Radosław Ochotny z polskiego Microsoftu, który odpowiada za rozwój platformy BPOS w Polsce. Nie trzeba kupować wszystkich aplikacji, lecz jedynie wybrane. Można też zdecydować, które programy będą zainstalowane lokalnie, nie zaś w chmurze. W przypadku udostępniania aplikacji w chmurze dane użytkowników przechowywane są w centrach serwerowych Microsoftu w Irlandii, natomiast centrum wsparcia technicznego znajduje się w Amsterdamie. Jak resellerzy mogą zarobić na BPOS? – Przy okazji sprzedaży systemu serwerowego Windows Server Foundation zaproponować klientom aplikacje BPOS – radzi Radosław Ochotny. Poza tym mogą pobierać opłaty za usługi związane z przeniesieniem poczty klienta na Exchange Online funkcjonujący w chmurze, z dostosowaniem obiegu dokumentów w ramach SharePointa lub z wdrożeniem rozwiązań opartych na VoIP. Resellerzy otrzymują również wynagrodzenie za sprzedaż abonamentów na BPOS. Jego wysokość wynosi 12 proc. wartości abonamentu, płatne co miesiąc, przez rok trwania umowy zawartej przez klienta. W kolejnym roku reseller otrzymuje co miesiąc 6 proc. wartości subskrypcji. Producent zastrzega sobie prawo do obsługi indywidualnej klientów, którzy zamierzają kupić abonament na więcej niż 5 tys. stanowisk. Microsoft stworzył program partnerski dla resellerów zainteresowanych sprzedażą BPOS. Można się w nim zarejestrować na stronie WWW producenta. Na początku kwietnia do programu dołączyło 49 firm (VAR-ów, integratorów, dostawców rozwiązań i resellerów).