Облачная миграция — один из главных компонентов практически любой ИТ-стратегии бизнеса и госструктур. Однако восприятие этого процесса все еще не лишено «страшилок» для бизнеса, корни которых — в незнании устройства и возможностей современных технологий.

Заблуждение № 1: «Облако = утечка данных»

Обоснование таково: «Облачные провайдеры размещают в едином цифровом пространстве данные и приложения множества клиентов, поэтому им трудно отслеживать все потоки и организационные процессы. Следовательно, риски утечек растут».

На самом деле — все ровно наоборот. Поскольку работа с данными и ИТ-системами клиентов — основа бизнес-модели облачных провайдеров, они уделяют всем моментам, связанным с доступом к данным и системам повышенное внимание. Как на уровне организации бизнес-процессов (зоны ответственности, распределение ролей сотрудников и т. д.), так и на уровне ИБ-инструментов, защищающих облачный периметр, задействуется самый передовой арсенал решений.

Облачные провайдеры могут позволить себе лучшие средства защиты данных, инструменты резервного копирования, ресурсы для дублирования мощностей на случаи аварий и сбоев, не говоря уже о физической защите доступа.

Машинный зал в дата-центре провайдера — неприступная крепость, с системами автоматического контроля доступа, видеонаблюдением, пожаротушения, контроля температуры, влажности, давления и даже загрязнения пространства.

Бизнесу в большинстве случаев обеспечить сопоставимый уровень качества поддержки ИТ-инфраструктуре в собственной серверной просто не под силу.

И утечки в последнее время чаще происходят как раз из собственной ИТ-инфраструктуры компаний.

Заблуждение № 2: «ИБ-вопросы лучше решать самостоятельно»

Во многом это логическое продолжение первого пункта — здесь также царит уверенность в том, что инструменты обеспечения кибербезопасности и сам подход к данной области лучше не доверять сторонним организациям.

Однако на практике это совсем не так: как раз бизнесу в сложившихся условиях дефицита кадров и ИБ-решений гораздо сложнее выстроить эффективный процесс обеспечения безопасности цифровых ресурсов.

Другая проблема: часто в компаниях при самостоятельном решении ИБ-задач недостаточно внимания уделяется документации.

Плохо составлены инструкции, в договорах с подрядчиками опускаются ключевые моменты, размыта ответственность сотрудников и т. д. То есть, реализуется довольно формальный подход, когда элементарные правила кибербезопасности в итоге не соблюдаются, что чревато очень большими проблемами при первом же серьезном инциденте.

В облаке ИБ-составляющая «вшита» в саму платформу, на которой провайдер предоставляет свои услуги. Опять же, поскольку размещение систем и данных клиента — основной бизнес для таких компаний, ИБ-аспекты реализованы на высшем уровне.

Ответственность сторон прописана в договоре, заключаются все необходимые соглашения о конфиденциальности данных, прописывается ответственность в случае всех возможных сценариев, которые могут реализоваться при наступлении тех или иных ИБ-инцидентов.

Провайдеры несут прямую финансовую и репутационную ответственность за данные клиентов, непрерывность работы их ИТ-систем и поэтому ставят ИБ-компонент работы облаков на первое место.

Провайдеры следят за обновлениями ИБ-решений, программных и аппаратных, вкладываются в обучение сотрудников, совершенствуют процессы отработки инцидентов через постоянные тренинги и учения.

Большинство компаний просто не могут уделять ИБ такое внимание в силу фокуса на других задачах.

Заблуждение № 3: «Своей серверной проще управлять и настраивать „под себя“»

Может быть и так, но «проще» не значит «лучше», особенно в случае такого сложного и важного объекта как машинный зал с оборудованием, на котором размещены критически важные для бизнеса ИТ-системы.

Здесь легко впасть в классическую ошибку инженера — «оптимизировать изначально неэффективное решение или формат исполнения системы».

По большому счету, сопоставимый с облачным уровень эффективности и безопасности можно достичь только построив свой собственный дата-центр, что под силу только очень большим компаниям, которые могут позволить себе такую роскошь.

В остальных случаях никакая серверная, даже самая «передовая» на первый взгляд, с уровнем защиты данных и систем в облаке провайдера не сравнится.

Подконтрольность физического пространства лично вам и вашим сотрудникам никак на непрерывность работы ИТ-систем не влияет, поскольку подорвать ее можно далеко не только через нарушение физического доступа к оборудованию.

Что касается различных настроек и управления параметрами ИТ-инфраструктуры, то в облаке реализована полная свобода в этом отношении.

Любой критически важный параметр масштабируется, можно подобрать необходимый стек технологий и инструментов под поставленную задачу.

Причем в облаке сделать это даже проще — у провайдеров больше возможностей по приобретению лицензий на различные программные решения, больше запасы «железа» и сетевых решений.

Совокупный уровень компетенций облачного провайдера в требуемом стеке технологий почти всегда будет выше, чем у заказчика, ввиду специализации.

Это обстоятельство не только ускоряет процесс тестирования и запуска новых решений, но и минимизирует простой в случае реакции на ошибки.

Заблуждение № 4. «ПДн в облаках защищены слабее»

Многие компании сегодня имеют дело с так называемой «информацией ограниченного доступа», под которой чаще всего подразумеваются персональные данные (ПДн).

Для полного удовлетворения требованиям законодательства к таким процедурам необходимо обеспечить соответствие на нескольких уровнях — не только на техническом (специальный защищенный и аттестованный ИТ-периметр, в котором циркулируют ПДн), но также на организационном и документальном.

И это нетривиальная задача в силу своей комплексности: необходимо соблюдать координацию между техническим и документальным уровнем, например.

Особенно критичной роль ошибки здесь становится на фоне ужесточения ответственности за утечки ПДн (введение оборотных штрафов за подобные нарушения).

Опять-таки провайдерам проще обеспечить централизованный подход к решению проблемы. Организовать предоставление услуги соответствия законодательству по ПДн «под ключ» они могут путем обучения персонала, развертывания защищенного ИТ-периметра с использованием сертифицированных средств.

Для подавляющего большинства компаний это практически невыполнимая задача.

Заблуждение № 5: «Защитим данные сами, в облаке просто купим мощности»

Это и раньше был не самый лучший выбор ввиду многих причин: хотя бы из-за того, что при таком подходе возрастает риск несогласованности работы между штатом компании-клиента и специалистами облачного провайдера.

А сегодня выбор такого пути в отношении ИБ-задач нецелесообразен вдвойне: поставка необходимых инструментов защиты существенно усложнилась. Вместе с этапами разработки документации и непосредственно внедрения на задачу может уйти до года и даже больше.

И зачем самостоятельность такой ценой, если в большинстве облаков ИБ-решения доступны практически мгновенно, по модели «как услуга»?

Заключение

Словом, очень многие опасения и общие подходы к облачной миграции в современных условиях значительно устарели.

Придерживаться их в стратегии дальнейшего ИТ-развития компании означает подвергать себя риску неправильного решения с последующим отставанием от трендов отрасли и конкурентов.

Реальных ситуаций, которые могут воспрепятствовать использованию облаков из-за вопросов безопасности, совсем немного. Почти все они связаны со сценариями обработки чувствительных госданных, работой КИИ или автоматизированных систем технологических процессов.

Да и в этих областях прогресс идет: каждый год появляются новые подходы и технологии, которые могут выполнить требования по защите даже крайне чувствительных данных в облаках.

Источник: Алексей Залецкий, эксперт в области информационной безопасности компании CorpSoft24

Версия для печати (без изображений)   Все новости