Virtualizarea si infrastructura cloud au adus departamentelor de IT din companii beneficii enorme in ce priveste eficienta economica. Desi aceste reduceri de costuri sunt suficiente pentru a face trecerea catre adoptia serviciilor cloud, directorii de IT care se concentreaza strict asupra aspectelor financiare se pot expune unor riscuri substantiale in materie de securitate.
Un studiu al Forrester Research arata ca opt din zece companii si-au mutat datele de importanta critica pentru business in cloud, in principal din motive financiare.
"Pe masura ce o cantitate din ce in ce mai mare de date detinute de companii ajunge in cloud, riscurile pierderilor finaciare au devenit o reala ingrijorare. Subestimarea aspectelor legate de securitate pentru cloud ar putea avea consecinte serioase asupra datelor stocate in medii virtuale, iar responsabilitatea pentru securizarea acestora apartine in egala masura furnizorilor de servicii cloud si clientilor care ii aleg", spune Liviu Arsene, Senior eThreat Analyst al Bitdefender.
Specialistii in securitate cibernetica ai Bitdefender au elaborat un ghid in zece pasi prin care companiile pot securiza cloud-ul si pot reduce riscul expunerii datelor sensibile la atacuri cibernetice.
1.Defineste criteriile pe baza carora stochezi informatii on premise sau in cloud. Fa management al riscului.
Cand opteaza pentru solutii de tip cloud hibrid, specialistii IT trebuie sa efectueze mai intai o analiza asupra datelor prelucrate si evaluate in functie de gradul lor de importanta, atat pentru companie, cat si pentru clienti. Datele sensibile, personale, private sau cele cu caracter de proprietate intelectuala trebuie stocate in mediul privat, iar accessul la acestea trebuie sa se faca numai in conditii speciale si strict de catre personal autorizat.
2. Pastreaza cloud-ul privat.
Organizatiile care detin sau manipuleaza date sensibile, confidentiale sau cu caracter de proprietate intelectuala trebuie sa-si mentina infrastructurile de tip cloud intr-un mediu privat. Mai exact, accesul la acele date trebuie sa se realizeze doar de catre personalul din reteaua locala si niciodata din exteriorul acesteia. Cloud-ul privat trebuie sa existe intr-o zona izolata de accesul la reteaua publica (de ex. Internet), pentru a preveni producerea unor potentiale brese de securitate si accesul neautorizat la date.
3. Tine-l in zona geografica cu jurisdictie favorabila.
Atunci cand aleg sa stocheze datele intr-o infrastructura de tip cloud, specialistii IT trebuie sa se asigure ca data center-ul (sau locatia fizica unde sunt stocate datele) se afla intr-o regiune sau un stat in care legislatia este favorabila atat companiei, cat si tipului de date prelucrat. Orice data center, indiferent de datele pe care le stocheaza, se va supune legilor in vigoare pe teritoriul staului unde opereaza. Prin urmare, este important ca orice companie care opteaza pentru solutii de tip cloud care opereaza cu data centere pe teritoriul unei tari diferite de cea originara companiei sa studieze si sa se conformeze cu legislatia tarii respective. In caz contrar, poate atrage dupa sine repercusiuni legale care ar putea cauza daune materiale si prejudicii de imagine semnificative.
4. Fa un raport preliminar (due dilligence) al furnizorului si stipuleaza in contract ce daune vei solicita in cazul unor evenimente.
Cand se alege un furnizor de servicii de tip cloud este imperativa realizarea unui raport preliminar de evaluare a furnizorului pentru a evalua capacitatea acestuia de a deservi nevoile clientului, capacitatea de recuperare si redundanta a datelor in caz de accidente tehnice sau cauze naturale (precum cutremure, inundatii, catastrofe, etc.), dar si daunele care trebuie acoperite in cazuri de forta majora (pene de curent, erori umane sau alte incidente neprevazute de natura hardware, etc). Acest lucru asigura nu doar continuitatea afacerii companiei, dar stabileste si masurile de urgenta care trebuie urmate in cazuri de urgenta.
5. Asigura-te ca toate informatiile sunt criptate, atat in tranzit, cat si local.
Orice transfer de informatii intre client si serviciul de cloud trebuie criptat, pentru a evita interceptarea si descifrarea acestora de catre raufacatori. Mai mult, datele stocate in cloud trebuie de asemenea criptate pentru a evita folosirea acestora in caz de furt, spionaj sau alte tipuri de atacuri care vizeaza accessul la date stocate in cloud.
6. Asigura-te ca ai copii de siguranta ale datelor stocate in cloud.
Pentru a asigura continuitatea serviciilor asigurate de companie in cazul compromiterii datelor este necesara existenta unor copii de siguranta - de preferinta in locuri fizice si/sau virtuale diferite fata de cel care asigura serviciile de cloud - pentru a minimiza daunele aduse de potentiale erori sau catastrofe naturale.
7. Foloseste modalitati de autentificare sigure.
Accesul la orice tip de date, indiferent daca acestea sunt stocate intr-un cloud privat sau public, trebuie sa se realizeze prin mecanisme de autentificare. Acestea trebuie sa presupuna mai mult decat simple credentiale de access - pentru date sensibile - si pot ajunge pana la autentificari biometrice sau prin certificate digitale.
8. Desemneaza un numar limitat de angajati care sa poata accesa anumite date.
Accesul la datele critice si sensibile trebuie sa se realizeze doar de catre personal autorizat, folosind proceduri stricte de securitate si metode avansate de autentificare. Se poate opta atat pentru sisteme de autentificare dubla (two-factor) sau pentru validarea autentificarii de catre o terta parte (two-man rule).
9. Previno atacurile de tip DDoS care iti pot limita accesul la serviciile cloud.
Atacurile de tip DDoS (distributed denial of service ¬ atacuri care blocheaza anumite servicii online prin generarea de trafic masiv si nelegitim) pot limita accesul la servicii de tip cloud. Prin urmare, existenta unor sisteme capabile sa gestioneze in mod automat atacuri de tip DDos si sa asigure continuitatea serviciilor sunt necesare. Prevenirea unor astfel de atacuri se realizeaza prin monitorizarea constanta a traficului de retea si identificarea anomaliilor.
10. Creeaza, defineste si respecta procedura de reactie in cazul unor incidente legate de securitate.
Orice companie trebuie sa defineasca un set de proceduri si reguli care trebuie respectate in cazul unor incidente de securitate. Acestea trebuie sa cuprinda tehnici si metode de identificare, izolare si remediere a breselor de securitate semnalate. Dupa orice incident de securitate este necesara evaluarea impactului pe care l-a avut asupra companiei sau infrastructurii si aplicarea unor metode necesare prevenirii unor aceleasi tipuri de brese/vulnerabilitati.
0
6
