Dwa podstawowe elementy składowe zapewniające bezpieczeństwo danych to infrastruktura fizyczna i bezpieczeństwo sieci. Zrozumienie i ochrona informacji przed zagrożeniami i błędami ludzkimi wymaga skrupulatnie ułożonych warstw protokołów bezpieczeństwa.
W zeszłym roku British Airways odwołały ponad 400 lotów i zatrzymały 75 000 pasażerów z powodu awarii IT spowodowanej przez inżyniera, który odłączył zasilanie w centrum danych w pobliżu londyńskiego lotniska Heathrow. Jeśli chodzi o centra danych i sieci, nawet drobne błędy ludzkie mogą mieć duży wpływ na firmy i ich klientów. Mając na uwadze wygórowane koszty i zasoby ludzkie wymagane do utrzymania lokalnego systemu, organizacje powinny zwracać się do firm działających w chmurze publicznej. Firmy te wnoszą kapitał i wiedzę, aby właściwie zarządzać swoimi centrami danych, które są lepiej chronione niż te, które większość firm mogłaby założyć samodzielnie.
Skupienie się Google na bezpieczeństwie i ochronie danych pozostaje głównym kryterium projektowym przy konstruowaniu centrów danych. Wykorzystuje warstwowy model zabezpieczeń, który obejmuje zabezpieczenia, takie jak specjalnie zaprojektowane elektroniczne karty dostępu, bariery dostępu do pojazdów i wykrywanie wtargnięcia wiązki laserowej na piętrze centrum danych. Centra danych są monitorowane 24 godziny na dobę, 7 dni w tygodniu przez kamery o wysokiej rozdzielczości, które mogą wykrywać i śledzić intruzów. Dzienniki dostępu, zapisy aktywności i nagrania z kamery są dostępne, jeśli wystąpi incydent. Ponadto tylko zatwierdzeni pracownicy otrzymują poświadczenia niezbędne do wejścia na piętro danych, do którego można dostać się tylko przez korytarz bezpieczeństwa z wieloczynnikową kontrolą dostępu, która wymaga identyfikatora bezpieczeństwa i potwierdzenia biometrycznego.
Bezpieczeństwo sieci
Jeśli uważasz, że zapory są bezpieczne, pomyśl jeszcze raz. Ochrona sieci cybernetycznej jest tak samo ważna jak bezpieczeństwo fizyczne. Prawie połowa (48 procent) organizacji, które padły ofiarą cyberataku, zidentyfikowała główną przyczynę naruszenia bezpieczeństwa danych jako złośliwy lub przestępczy atak. Zapory ogniowe zbudowane wewnętrznie są nie tylko często źle zarządzane i bardziej narażone na włamania, ale także nie są w stanie zapewnić organizacjom niezbędnych alertów o ryzyku. Jedynymi firmami, które naprawdę mają wystarczającą liczbę odpowiednio wyszkolonych pracowników i dedykowanych zasobów, aby zachować najwyższy poziom bezpieczeństwa sieci, są publiczne firmy chmurowe.
Luki w zabezpieczeniach, takie jak notoryczny robak USB Conficker i odkryte przez firmę Cisco backdoory, potwierdzają, że firmy potrzebują silnej ochrony. Bez regularnej konserwacji hakerzy mogą przebić się przez zapory ogniowe i gotowe oprogramowanie zabezpieczające. Posiadanie zapory nie wystarczy, aby zapewnić bezpieczeństwo danych w sieci firmowej. Jednak regularne testowanie, konserwacja i aktualizacje są zbyt rygorystyczne dla wielu firm próbujących działać samodzielnie.
Niektóre czołowe firmy chmurowe zatrudniają setki specjalistów ds. Bezpieczeństwa i prywatności w swoich działach inżynierii oprogramowania i operacjach. Wśród pracowników firm zajmujących się chmurą publiczną są jedni z czołowych światowych ekspertów w dziedzinie bezpieczeństwa danych, aplikacji i sieci. Ich wysoce wyspecjalizowane zespoły są podzielone na sprawne i konkretne działy, dzięki czemu potrzeby klientów w zakresie bezpieczeństwa otrzymują bardziej szczegółową uwagę.
Aktualizacje oprogramowania
Wiele luk w zabezpieczeniach sieci można naprawić, ale firma musi regularnie aktualizować swoje systemy operacyjne, bazy danych i serwery WWW w celu zastosowania poprawek. Firmy często zaniedbują tę odpowiedzialność, narażając całą organizację na cyberzagrożenia. Utrzymywanie aktualnego oprogramowania firmy to nie tylko koszty aktualizacji i instalacji. Wymaga również współpracy korporacyjnego zespołu IT oraz indywidualnych pracowników, którzy w pracy wykorzystują urządzenia firmowe lub osobiste.
Wiele działów IT opóźnia wdrażanie krytycznych aktualizacji, aby zminimalizować wpływ przerw w świadczeniu usług. Jest to częsta pułapka dla organizacji, które używają tradycyjnych starszych systemów, gdzie regularne aktualizacje wymagają koordynacji z wieloma działami. Dotyczy to również organizacji, które nie wymieniają systemów, zanim staną się przestarzałe – nawet jeśli otrzymały ostrzeżenie od samych producentów oprogramowania.
Jak pokazano na przykładzie ataku WannaCry, łaty do starego oprogramowania mogą nawet nie być dostępne. „Wiele komputerów, na które miał wpływ WannaCry, miało system operacyjny Windows XP, którego początkowo nie można było załatać, ponieważ Microsoft zaprzestał obsługi programu w 2014 roku, z wyjątkiem wysokiej opłaty” – wyjaśnił USA Today. Skutki luki w oprogramowaniu mogą być równie poważne, jak każde inne naruszenie bezpieczeństwa IT. Opublikowane przez IHG dane pokazują, że kasy fiskalne w ponad 1000 jego nieruchomości zostały naruszone przez złośliwe oprogramowanie zaprojektowane do pobierania danych debetowych i kredytowych klientów.
Uwierzytelnianie użytkownika
Uprawnienia do dokumentów i uwierzytelnianie użytkowników znacznie przyczyniają się do zapewnienia odpowiedniego bezpieczeństwa organizacji. Aby zagwarantować, że właściwe osoby będą miały dostęp do Twoich danych, Twoja organizacja powinna używać silnych haseł, uwierzytelniania wieloskładnikowego i fizycznych kluczy bezpieczeństwa; wszystkie rzeczy, w które firmy chmury publicznej dużo inwestują. Na przykład klucz bezpieczeństwa Titan firmy Google korzysta z uwierzytelniania wieloskładnikowego w celu ochrony użytkowników przed atakami. Hakerom znacznie trudniej jest ukraść fizyczny klucz bezpieczeństwa. Dzięki wielowarstwowym praktykom uwierzytelniania organizacje zmniejszają ryzyko nieautoryzowanych osób udających zatwierdzonych użytkowników.
Przykładem może być Deloitte, nazywany niegdyś „najlepszym konsultantem ds. Cyberbezpieczeństwa na świecie” przez firmę Gartner, który padł ofiarą ataku cybernetycznego w 2017 roku. Hakerzy uzyskali dostęp do sieci Deloitte po złamaniu hasła konta administratora, które nie wymagało wieloskładnikowego uwierzytelniania. Dało to cyberprzestępcom nieograniczony dostęp do firmowych e-maili i załączników. Gdyby Deloitte używał uwierzytelniania wieloskładnikowego, hakerzy nie mieliby dodatkowego identyfikatora potrzebnego do logowania, a właściciel konta zostałby ostrzeżony o nieautoryzowanym użyciu ich konta. Te czynniki prawdopodobnie mogły zapobiec naruszeniu.
Jednak nie chodzi tylko o hasła. Chodzi również o wprowadzenie odpowiednich zasad i procedur. Rozwiązanie w chmurze publicznej zapewnia dostosowywane uprawnienia i zintegrowane przepływy pracy, które pomagają poprawić bezpieczeństwo i zwiększyć produktywność. Organizacje mogą monitorować, kto próbuje uzyskać dostęp do ich sieci, i aktywnie blokować połączenie nieznanych urządzeń.
Kredyt obrazu: Rawpixel.com / Shutterstock
Stéphane Donzé jest założycielem i dyrektorem generalnym AODocs, firmy programistycznej, którą stworzył z idei, że potrzeba przedsiębiorstwa w zakresie zgodności i wydajnych procesów nie stoi w sprzeczności z dobrym doświadczeniem użytkownika. Przed założeniem AODocs był wiceprezesem ds. Inżynierii w Exalead, wiodącej firmie zajmującej się wyszukiwaniem korporacyjnym. Po przejęciu Exalead przez Dassault Systèmes w 2010 roku przeniósł się do Kalifornii z Paryża jako wiceprezes ds. Strategii produktu. Stéphane posiada tytuł magistra inżynierii oprogramowania na Ecole Polytechnique we Francji (X96). Dzięki 18-letniemu doświadczeniu w oprogramowaniu dla przedsiębiorstw pasjonuje się doświadczeniem użytkowników w całej organizacji.
