Po pierwsze, bezpieczeństwo

MK
opublikowano: 05-03-2012, 13:29

Przetwarzanie firmowych danych w chmurze jest bezpieczniejsze niż samodzielne zarządzania informacjami.

Służbowe e-maile i SMS-y, branżowe portale społecznościowe, intranet, a także biznesowe badania, raporty, analizy, korporacyjne narady, tele- i wideokonferencje… Firmowe informacje płyną do nas różnymi kanałami. I jest tych danych tak dużo, że menedżerowie i specjaliści nie potrafią już nawet określić, które są ważne, a które zupełnie błahe. Wiadomości te upychamy na wszelkiego rodzaju nośnikach pamięci masowych. I dość szybko o nich zapominamy.

Rozwiązaniem jest przetwarzanie w tzw. chmurze (cloud computing), czyli w internecie. Całą infrastrukturę, w tym serwery i dyski, lokuje się w sieci. Nie ma znaczenia, gdzie one są fizycznie – przecież do tych informacji możemy zajrzeć zawsze i wszędzie, z każdego komputera podłączonego do sieci. To sposób prostszy, tańszy i skuteczniejszy. Tylko jak tu powierzyć zarządzanie naszymi strategicznymi danymi innym podmiotom?

Strach ma wielkie oczy

Ryzyko wycieku istnieje zawsze, bez względu na to, czy biznesowe dane powierzamy partnerowi zewnętrznemu, czy przetwarzamy je wewnątrz organizacji. Jednak zdaniem wielu ekspertów, korzystanie z modelu usługowego może być dla nas bezpieczniejsze niż samodzielne zarządzania informacjami. Powód – pracownicy firmy outsourcingowej są na ogół mniej zainteresowani danymi niż własny personel, stąd mniejsza pokusa wykorzystania ich do niecnych celów. Według licznych badań, sprawcami cyberataków są nierzadko osoby zatrudnione w przedsiębiorstwie, w tym członkowie jego zespołów IT. Nie powinno to nikogo zaskakiwać, zważywszy, że informatycy mają zarówno odpowiednie umiejętności, jak i możliwość korzystania z technologii i narzędzi informatycznych. Dysponują szerszym prawem dostępu do systemów finansowo-księgowych i wiedzą, jak zatrzeć ślady popełnionych nieprawidłowości.

Co ciekawe, polskie przedsiębiorstwa, zwłaszcza z sektora MŚP, mają duże obawy w związku z przekazywaniu własnych danych outsourcerom, a jednocześnie w swojej  codziennej działalności nagminnie lekceważą zagrożenia czyhające na nie w sieci i nie widzą potrzeby zabezpieczania się przed cyberatakami. Jak pokazuje najnowsze badanie 2011 SMB Threat Awareness Poll, przeprowadzone przez Symantec, ponad 50 proc. firm nie stosuje oprogramowania antywirusowego na wszystkich komputerach. Co druga nie zabezpiecza serwerów i usług poczty elektronicznej. I aż 63 proc. nie dba o bezpieczeństwo sprzętu używanego do bankowości on-line.

Nie kupuj kota w worku

W świetle prawa każdy podmiot zobowiązany jest chronić przetwarzane dane. Wymogi w tym zakresie określają przepisy o ochronie danych osobowych, a także różne regulacje sektorowe i specjalistyczne (np. prawo bankowe, prawo telekomunikacyjne, ustawa o ochronie informacji niejawnych). Zatem zanim decydujemy się na współpracę z danym outsourcerem, najpierw powinniśmy sprawdzić, czy stosuje on u siebie prawne instrumenty ochrony danych, np. regulacje wewnętrzne, zobowiązania do poufności, informacje o grożących konsekwencjach za nadużycie lub niezapełnienie bezpieczeństwa danych. Ale prześwietlenie wewnętrznych praktyk stosowanych w firmie outsourcingowej to dopiero początek. Następnie trzeba ustalić stosunek naszego potencjalnego partnera do zapewnienia bezpieczeństwa danych i ciągłości działania oraz stosowania dobrych standardów w tym zakresie. Należy do nich rodzina standardów bezpieczeństwa informacji:

Oolskie przedsiębiorstwa, zwłaszcza z sektora MŚP, mają duże obawy w związku z przekazywaniu własnych danych outsourcerom.
Oolskie przedsiębiorstwa, zwłaszcza z sektora MŚP, mają duże obawy w związku z przekazywaniu własnych danych outsourcerom.
None
None
  • ISO/IEC 27000, BS 25777 – Zarządzanie ciągłością w informatyce i telekomunikacji,
  • BS 25999 – Zarządzanie ciągłością działania,
  • SSAE16 (który zastąpił SAS70) – standard audytu outsourcerów opracowany przez American Institute of Certified Public Accountants.

Przy podpisywaniu umowy warto mówić jasno i wyraźnie o swoim prawie do weryfikowania spełnienia wymagań i standardów ochrony informacji przez outsourcera. Ten zaś powinien nam umożliwić przeprowadzanie bezpośredniego audytu lub przez okresowe audytowanie przez odpowiednią jednostkę (według zaakceptowanego przez nas standardu). Najlepiej będzie, jeśli takie zobowiązanie partner zewnętrzny sformułuje na piśmie.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: MK

Polecane