IDG: Rozvíjející se firmy čelí zvýšeným bezpečnostním rizikům

( 5 hlasy )

majakFirmy dnes s velikou rychlostí přejímají nové nástroje a technologie, včetně cloud computingu, sociálních sítí, virtualizace, a mobilních technologií, čímž zrychlují boření tradičních bariér, které je obklopují a které chrání jejich data.

Výsledkem jsou organizace s obrovským záběrem, zvané „Hyper-extended enterprise“. Přestože tento vývoj pomáhá firmám uskutečňovat strategické záměry, snižovat náklady, zvyšovat podíl inovací nebo zlepšovat interní a externí komunikace, vystavuje je zároveň bezpečnostním rizikům. Přichází čas změnit pohled na bezpečnostní strategii.

Nedávný průzkum společnosti IDG Research Services zkoumá tato rizika a nabízí řešení, které firmám umožní je minimalizovat. Klíčová zjištění jsou následující:

  • Přestože téměř polovina respondentů uvádí, že již adoptovali webové 2.0 technologie, a nebo se to v příštím roce chystají udělat, velký počet z nich nemá žádnou strategií hodnocení případných rizik, a někteří dokonce zavedli uvedené technologie bez toho, aniž by informovali bezpečnostní oddělení firemního IT
  • Více než 8 z 10 respondentů se obává, že tlak na snižování nákladů a zvyšování obratu zvýšil úroveň jejich bezpečnostního rizika. Více než 7 z 10 jich pak během posledních 18 měsíců zaznamenalo nějaký bezpečnostní incident
  • Pouze 44% respondentů zavedlo směrnice pro zaměstnance týkající se využívání sociálních sítí a nástrojů
  • Většina respondentů se shodne na tom, že je potřeba zlepšit přístup k tvorbě firemní bezpečnostní strategie tak, aby bylo možné vyhovět všem nárokům „Hyper-extended enterprise“


Nevrhejte se střemhlav do neznáma

“Hyper-extended enterprise” je taková firma, která používá nové webové a komunikační technologie pro výměnu stále většího množství informací mezi rostoucím počtem subjektů mnoha různým způsoby a na mnohem více místech než kdykoliv předtím. Hyper-extended enterprises zpravidla využívají tyto technologie interně v rámci své celosvětové organizace, i externě pro začlenění svých zákazníků, partnerů, dodavatelů a dalších subjektů do provozu firmy. Téměř 3 ze 4 respondentů si myslí, že jejich firma již tuto definici splňuje, a nebo jí brzy splní. Nicméně výsledky průzkumu napovídají, že tato narůstající tendence vytvářet Hyper-extended enterprise prostředí má za příčinu to, že se mnoho manažerů uchýlí k jednomu ze dvou extrémů: buď je to přílišná horlivost, a nebo naopak přílišná opatrnost.

Některé firmy jsou tak uchváceny potenciálem, který jim tyto nové technologie mohou nabídnout, že se vrhají do jejich převzetí takřka po hlavě, aniž by před tím provedli nezbytnou analýzu, která je nutná k zajištění bezpečnosti klíčových procesů a firemních dat.

Cloud computing může sloužit jako výmluvný příklad: Mezi všemi respondenty dotazníku 31% již přesunulo alespoň některé firemní aplikace na cloud, a 16% tvrdí, že se tak chystá udělat v příštím roce. Více než polovina z této skupiny říká, že si není jistá v otázkách zajištění integrity a souladu dat po přechodu na sdílenou infrastrukturu služeb.

Většina nemá jasnou představu o tom, jak provozovatelé cloudů chrání jejich data a nebo jak se firemní bezpečnostní skupiny vypořádaly s nutností souladu se směrnicemi poté, co jejich data byla umístěna na cloud. Více než 40% má obavy, že nebude možné dohledat geografické umístění jejich dat. Nejpřekvapivěji, téměř třetina (29%) uvádí, že různá obchodní oddělení využívala služeb cloud computingu, aniž by před tím zapojila nebo informovala firemní IT.

A přitom, přestože pouze 17% respondentů z této skupiny skutečně vytvořilo bezpečnostní strategii pro cloud computing, 70% z nich se cítí „velmi jisti“ nebo „poměrně jisti“ že jsou z hlediska bezpečnosti připraveni na plošné zavedené cloud computingu ve své organizaci. Tato nelogičnost platí pro všechny webové a komunikační technologie, které definují Hyper-extended Enterprise: Pouze 43% respondentů dotazníku říká, že jejich IT bezpečnostní tým má pro všechny případy připravený proces hodnocení rizik, zatímco  35% respondentů se přiznává, že nejsou připraveni úplně, a 16% uvádí, že bezpečnostní oddělení se oslovuje až v případě, že nějaký problém nastane. Někteří respondenti dokonce uvádějí, že jejich organizace zavádějí tyto technologie, aniž by o tom oddělení IT bezpečnosti vůbec vědělo.

Na druhé straně existují jiní respondenti, kteří se těmto technologiím záměrně vyhýbají, a tím se vzdávají příležitostí jak snížit náklady, zvýšit produktivitu, či zlepšit schopnost inovovat.

Rozumný způsobem, jak zvládnout přechod na Hyper-extended enterprise bez zvýšení bezpečnostního rizika, je zlatá střední cesta. To znamená změnu podnikové bezpečnostní strategie tak, aby data mohla být sdílena bez toho, aniž by byla ohrožena jejich diskrétnost, integrita a dostupnost. Tento nový přístup musí být proaktivní a kolaborativní, a musí vycházet z principu ochrany dat bez ohledu na to, kde jsou umístěna nebo kdo k nim má přístup.


Chraňte data, ne jejich kontejner

S tím, jak roste využití mobilních přístrojů a popularita virtualizace, jsou firemní data stále častěji zpracovávána a ukládána na místech a způsoby, které je mnohem složitější bezpečnostně zajistit. Respondenti dotazníku jsou si toho vědomi, a převážná většina z nich (87%) souhlasí s tím, že z hlediska bezpečnosti je mnohem důležitější zaměřit se na ochranu dat samotných, spíše než na ochranu schránky nebo zařízení, ve kterém jsou data uložena.

Nicméně to vyžaduje, aby si firmy lépe uvědomovaly, kde se jejich data mohou nacházet – což je složitý úkol, uvědomíme-li si, že 83% respondentů uvádí zvýšení využití virtualizace během posledních 12-24 měsíců, 65% zaznamenává rostoucí využití mobilních zařízení jako např. iPhone, a firemní bezpečnostní IT týmy v průměru musí podporovat 6 typů různých koncových uživatelských zařízení.

Otázka ochrany dat se dále komplikuje s tím, jak firmy postupně přesouvají klíčové informace na cloud. Hlavní obavy respondentů v konkrétní souvislosti s cloud computigem souvisejí s následujícími faktory:

  • Nedostatečně transparentní proces pro zabezpečení procesů u dodavatelů (51%)
  • Nedostatečně vyvinutá technologie (47%)
  • Ochrana integrity dat (45%)
  • Nedostatečné bezpečnostní směrnice/standardy (40%)
  • Riziko nedodržení bezpečnostních směrnic a standardů (40%)

Identifikovat riziko až v případě skutečného porušení bezpečnosti nebo poté, je tak riskantní, že si tento přístup může dovolit jenom málokterá firma. Ale podniky se často vrhají na přijetí nových technologií bez toho, aniž by věnovaly plnou pozornost otázkám bezpečnosti, které svým jednáním vyvolávají. Firmy si tedy musí stanovit jasné priority a zvýšit svou schopnost odhadovat a snižovat rizika před samotným zavedením technologie. „Přijetí takových technologií je často motivováno náklady – jde o atraktivní způsob, jak snížit provozní náklady“, říká Roland Cloutier, vice president and Chief Security Officer v EMC Corp. of Hopkinton, Mass. „Firmy zjevně občas nerozumí tomu, že jejich data mohou být stejně cenným duševním vlastnictvím firmy jako třeba hotový výrobek.“ Clothier říká, že firmy musí jasně rozumět tomu, jaké své zdroje, informace, a technologie se chystají užívat, sdílet nebo rozšiřovat, aby si také mohly udělat rozumný odhad rizik, která jsou s tím spojena. Říká například, že výraz „cloud computing“ už slyšel užívat v souvislosti s prostředím zpracování procesů, platformou, software jako služba, a místem mimo firmu, kde se píše kód.

Pokud firmy jasně nedefinují, co se bude zadávat ven nebo co se bude sdílet, včetně své představy konečného kýženého výsledku, nemohou ani objektivně posoudit možná rizika. Protože Hyper-extended enterprise sdílí data se svými subdodavateli a partnery, musí je také zahrnout do své analýzy bezpečnostních rizik. Přestože 47% respondentů uvádí, že jejich partneři a dodavatelé vyžadují od svých sub-dodavatelů splnění konkrétních bezpečnostních opatření, 12% uvádí, že jejich smlouvy nenařizují dodavatelům bezpečnostní standardy a 5% z nich ani neví, zda jejich dodavatel využívá dalších subdodavatelů – překvapivé přehlédnutí, obzvláště u firem, které využívají outsourcing nebo offshoring.

 

Tvorba směrnic přijatelného chování

S tím, jak se boří tradiční hranice chránící firemní aktiva a informace, firmy potřebují silnější směrnice určující přijatelný způsob využití technologií, které zaměstnanci mají čím dál častěji pod přímou kontrolou. Je to obzvláště důležité u sociálních sítí a nástrojů (v nichž se hranice mezi osobními a pracovními informacemi může ztrácet), notebooků a dalších mobilních zařízení (ty by při odcizení mohly nechtěně zpřístupnit některé z klíčových informací, které obsahují).

Respondenti dotazníku mají největší obavy spojené se sociálními sítěmi. Pouze 17% povoluje neomezený přístup. Téměř třetina, resp. 30% respondentů prostě blokuje přístup kompletně. Ovšem 44% také uvádí, že vytvořili směrnice přijatelného chování, v nichž jsou shrnuta rizika a je v nich naznačeno, jak mohou zaměstnanci takové stránky a aplikace užívat.

Tyto firmy chápou, že přítomnost na sociálních sítích umožňuje zaměstnancům a zákazníkům komunikovat za minimálních nákladů, ale také si uvědomují, jak velmi důležité je minimalizovat riziko, že uživatelé náhodou, nebo i záměrně, zpřístupní důvěrné informace.

Směrnice přijatelného chování musí zajistit, aby zaměstnanci rozuměli tomu, jak využívat nástrojů v prostředí Hyper-extended enterprise tak bezpečně, jak je to jenom možné. Směrnice také musejí obsahovat procesy pro monitoring a management dat, které zaměstnanci vytvářejí a ke kterým mají přístup. Nejdůležitější, říká Cloutier, je, aby směrnice byly konsistentní u každé používané technologie, a aby jejich přijetí bylo podpořeno vzděláváním uživatelů.

 

Vzdělávání a trénink uživatelů

Vzdělávání uživatelů v bezpečnostních směrnicích není jenom o tom, říkat zaměstnancům co mohou nebo nemohou zveřejňovat na sociálních sítích. Může, a mělo by být, příležitostí, jak vytrénovat uživatele ověřenými metodami tak, aby mohli využívat všech možných nástrojů Hyper-extended enterprise pro maximální výkonnost a uskutečnění strategických firemních cílů.

Nicméně se zdá, že firmy naprosto selhávají v obojím. Více než  70% respondentů uvedlo, že během posledních 18. měsíců měli nějaký problém s bezpečností, nejčastěji nakažení sotwarem typu  “malware”, násilné vniknutí k datům (22%), nebo zcizená identita (22%) – všechno komplikace, kterým lze předcházet vzděláváním uživatelů s ohledem na důležitost ochrany dat a soustavného souladu s bezpečnostními směrnicemi. Tyto směrnice jsou koneckonců užitečné pouze tehdy, pokud je uživatelé znají, rozumějí jejich důležitosti a dodržují best practices. “Realita je taková, že svět dnes takto komunikuje” všímá si Cloutier. „Výzvou pro firmy je, jak uchopit nástroje web 2.0 a bezproblémově a bezpečně je zapojit do pracovních procesů.”


Vyvážený přístup

Jednou z firem, která se těmito tématy zabývá, je Inteva Products LLC, která vyrábí součástky pro interiéry a dveře automobilů. Tato mezinárodní firma, se sídlem v Troy, Michigan, už přesunula emaily, zpracování výplat, zaměstnaneckých benefitů a ERP systémů na cloud, s dlouhodobou strategií zaměřit své IT spíše na podporu než na technologii samotnou, říká CIO Dennis Hodges.

“Od svých cloud poskytovatelů vyžadujeme důkladnou dokumentaci týkající se zabezpečení našich dat”, říká Hodges. “Zatím zjišťujeme, že vzhledem k tomu, že na zabezpečení závisí celý byznys cloud poskytovatelů, jsou v této oblasti mnohem lepší, než bychom kdy mohli být my – ale to je proto, že vyhledáváme dodavatele, kteří jsou svými technologiemi známí.”

Inteva má nastavené směrnice přijatelného používání, které, přestože nejsou zvláštně určené pro konkrétní technologie, vyžadují, aby zaměstnanci neškodili firemní pověsti nebo nezveřejňovali důvěrné firemní informace, dle definice firemního etického kódu a zaměstnanecké smlouvy. Vede také pravidelné tréninky pro uživatele aplikací založených na cloud, i když Hodges připouští, že se jedná především o podpůrné aplikace. Když zaměstnanci používají Outlook, říká, nejsou schopni určit, zda jejich email odchází na zpracování cloud-based poskytovateli. Hodgesova rada firmám, které vytvářejí nový bezpečnostní model pro Hyper-extended enterprise, je jednoduchá: Řádnou analýzu proveďte jako první, ne až později a nebo až ve chvíli, kdy něco nefunguje.

Vyberte si dodavatele, kteří mají průkazné zkušenosti a reference od velkých zákazníků. Řiďte se stejnou strategií, jako kdybyste zaváděli interní systém. A především, říká, “pokud se domníváte, že přijetím některé z těchto technologií se musíte něčeho vzdát, nedělejte to.“

 

Závěrem

Protože firmy potřebují neustále pružně reagovat na měnící se podmínky na trhu, je zřejmé, že Hyper-extended enterprise bude ještě nějaký čas hrát důležitou roli. S tím, jak firmy v zájmu zvýšení konkurenceschopnosti adoptují nové technologie, musejí se vypořádat s novými přístupy k zabebezpečení svých informací, aby se mohly chopit nových příležitostí s minimálním rizikem.  K tomu Cloutier navrhuje podniknout následující 3 kroky:

  1. Ptejte se obchodních oddělení, jakým způsobem budou chtít danou technologii využívat a proč, a potom se rozhodněte podle skutečných obchodních potřeb než podle potenciálních benefitů a předpokládaných rizik
  2. Technologii otestujte a rozhodněte se na základě skutečného výsledku
  3. Ptejte se dodavatelů na jejich názor. S tím, jak se poskytovatelé učí podporovat produkty, které leží mimo tradiční firemní hranice, mohou i stále více nabízet sdílení zkušeností jiných zákazníků, ať už úspěšných, nebo ne.

Pro přidání komentáře je nezbytné se registrovat.registrace

Cloud.cz (www.cloud.cz), server o Cloud computingu. | Sitemap | RSS - cloud.cz | EMC Showcase