Prezentacja KPMG: E-assurance w chmurze obliczeniowej

BANK 2011/06

Podmioty działające w coraz bardziej konkurencyjnym środowisku szukają sposobu na zbudowanie swojej przewagi biznesowej. Chcąc zwiększyć przychody, a jednocześnie ograniczyć koszty, często sięgają po rozwiązania innowacyjne. Trzeba jednak pamiętać, że ze wszystkim, co może przynieść korzyści, zawsze będzie wiązało się ryzyko. Tym większe, im potencjalna korzyść wyższa.

Podmioty działające w coraz bardziej konkurencyjnym środowisku szukają sposobu na zbudowanie swojej przewagi biznesowej. Chcąc zwiększyć przychody, a jednocześnie ograniczyć koszty, często sięgają po rozwiązania innowacyjne. Trzeba jednak pamiętać, że ze wszystkim, co może przynieść korzyści, zawsze będzie wiązało się ryzyko. Tym większe, im potencjalna korzyść wyższa.

Krzysztof Radziwon, partner w firmie doradczej KPMG,
Paweł Skowroński, menedżer w firmie doradczej KPMG

Tak właśnie jest w przypadku cloud computingu. Potencjalne korzyści są bardzo wysokie, ale potencjalne ryzyko związane z wykorzystaniem do przetwarzania naszych danych w środowisku informatycznym poza naszą kontrolą, również wiąże się z pewnymi ryzykami, których nie warto bagatelizować.

Ostatecznie, to zarządy spółek ponoszą odpowiedzialność za bezpieczeństwo firmy, w tym za bezpieczeństwo jej aktywów informacyjnych, niezależnie od tego, gdzie je zdeponowano i komu powierzono ich przetwarzanie. Firmy świadczące usługi outsourcingu, w tym w również cloud computingu, starając się ograniczyć to ryzyko, podnieść poziom zaufania do swoich usług mogą i często sięgają po usługi niezależnych firm doradczych, które na ich zlecenie (lub na zlecenie ich klientów) poddają weryfikacji poziom bezpieczeństwa przetwarzania danych „w chmurach”. To właśnie jest e-assurance. Zanim omówione zostaną standardy, według których przeprowadzane są usługi atestacyjne (e-assurance), możliwości, jakie dają oraz przykładowe cele atestacji, warto pokusić się o krótką charakterystykę głównych ryzyk związanych z przetwarzaniem w chmurze obliczeniowej. A dlaczego ryzyk? Każda znacząca zmiana dotycząca aktywów firmy, jakimi są posiadane i przetwarzane informacje, powinna rozpocząć się od kompleksowej analizy ryzyk, dokonanie ich kwantyfikacji, a w konsekwencji świadome zarządzanie nimi poprzez wdrożenie odpowiednio zaprojektowanych mechanizmów kontrolnych ograniczających je do poziomu akceptowalnego przez kierownictwo firmy.

Ryzyka w chmurze

W przypadku chmur obliczeniowych analiza ryzyka jest utrudniona ze względu na złożoność zagadnienia (zarówno techniczną, jak i organizacyjną) oraz możliwe implementacje, takie jak SaaS, PaaS, IaaS lub wszelkie kombinacje rozwiązań stosowanych w chmurach prywatnych, publicznych oraz hybrydowych. Jednakże można wymienić kilka klasycznych ryzyk, z których część występuje również w często spotykanym outsourcingu zasobów informatycznych (np. usługa kolokacji serwerowni). Obecnie istnieje kilka prac w zakresie ryzyk występujących w środowisku chmury obliczeniowej, z pewnością jednak warto przywołać listę ryzyk opracowaną przez Europejską Agencję Bezpieczeństwa Sieci i Informacji ENISA. ENISA wyróżnia między innymi następujące kluczowe ryzyka:

  • Utrata kontroli nad środowiskiem Poniższa grafika obrazuje prostą zależność wynikającą ze stopnia kontroli kierownictwa firmy nad poszczególnymi elementami tworzącymi docelowe rozwiązanie. I tak, w przypadku posiadania własnych zasobów IT ryzyko to oczywiście jest najmniejsze, gdyż mamy kontrolę nad całym środowiskiem i sami decydujemy, jak nim zarządzać, jakie zabezpieczenia utrzymywać. Z kolei na drugim końcu znajduje się publiczna chmura obliczeniowa w implementacji SaaS, w której to kierownictwo firmy nie ma kontroli praktycznie nad żadnym z elementów tworzących infrastrukturę informatyczną.
    Oczywiście należy pamiętać, iż stopień kontroli nad środowiskiem nie jest jedynym wyznacznikiem ostatecznego poziomu ryzyka, a jedynie jednym z istotnych czynników je kształtujących.
  • Awaria mechanizmów separujących wielu dzierżawców (ang. tenants) – ryzyko to obejmuje sytuację utraty separacji poszczególnych elementów: zasoby dyskowe, pamięć, CPU wykorzystywanych przez kilku dzierżawców. Awarie tego typu spowodowane nieautoryzowanymi atakami/ działaniami osób z zewnątrz infrastruktury są wciąż rzadkością w porównaniu z atakami na zwykłą infrastrukturę IT, jednakże w przyszłości mogą one stać się zdecydowanie bardziej popularne wraz ze wzrostem popularności chmur obliczeniowych.
  • Ryzyko utraty zgodności regulacyjnej – niestety każda migracja do chmury obliczeniowej wiąże się z trudnościami w spełnieniu wymogów regulacyjnych obowiązujących daną firmę, zwłaszcza jeżeli przetwarzanie danych związane jest z branżami szczególnie regulowanymi lub danymi szczególnie prawem chronionymi. Sytuacje takie budzą szczególne zainteresowanie regulatorów rynku, takich jak np. GIODO, KNF, KNUiFE, PCI DSS. Ryzyko to jest niebagatelne, ponieważ może tak naprawdę zniweczyć całą idę wykorzystania chmury obliczeniowej przez firmę w przypadku niemożności spełnienia wysokich, często specyficznych wymogów regulacyjnych, których spełnienie jest niezbędne, aby móc skorzystać z mocy obliczeniowych chmury. Oczywiście w przypadku możliwości zastosowania wymaganych mechanizmów kontrolnych należy pamiętać o ich udokumentowaniu oraz w wybranych przypadkach konieczności ich niezależnej weryfikacji.

  • Nieprawidłowa ochrona danych – w tym zakresie mamy do czynienia z kilkoma ryzykami zarówno po stronie klientów, jak ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: