Pro malé a středně velké podniky (SMB) představují služby cloud computingu snadný a flexibilní způsob přístupu k množství aplikací a výkonu potřebnému k zajištění chodu podniku bez ohledu na jeho umístění. Tyto služby poskytují prostředí pro rychlé rozšiřování a vývoj nových softwarových programů a ekosystémů bez nutnosti velkých investic do infrastruktury.
Během pandemie a přechodu na práci na dálku umožnily cloudové služby malým a středním podnikům rychle poskytnout zaměstnancům i zákazníkům možnosti spolupráce a konferencí. Díky cloudovým službám navíc malé a střední podniky získaly nové funkce digitálního podnikání a elektronického obchodování.
I když cloud computing poskytuje malým a středním podnikům nové možnosti pro usnadnění podnikání, jsou s ním spojeny také bezpečnostní problémy a rizika. Na rozdíl od podnikových organizací, které mají přístup k větším bezpečnostním zdrojům, se SMB historicky potýkají s další výzvou, a to čelit těmto hrozbám s omezenými rozpočty a odbornými znalostmi v oblasti bezpečnosti.
Obavy o zabezpečení cloud computingu
Jaké jsou hlavní bezpečnostní problémy cloud computingu? Cloud Security Alliance (CSA), organizace, která definuje standardy, certifikace a osvědčené postupy pro zajištění bezpečného prostředí cloud computingu, identifikovala některé z hlavních hrozeb na základě průzkumu mezi odborníky z oboru a poznatků své pracovní skupiny Top Threats.
Mezi tyto hrozby patří úniky dat, zneužití účtů, vnitřní hrozby, nezabezpečená rozhraní, rozhraní pro programování aplikací (API), omezený přehled o využívání cloudu a zneužívání cloudových služeb.
Vzhledem k hrozbám zvyšují organizace napříč obory výdaje na řešení problémů se zabezpečením cloudu. V nedávné zprávě společnost Gartner uvedla, že tempo růstu výdajů na technologie pro zabezpečení informací a řízení rizik vzroste v roce 2021 o 12 % na 150,4 miliardy dolarů, což ukazuje na pokračující poptávku po technologiích pro práci na dálku a na otázky zabezpečení cloud computingu.
"Organizace se nadále potýkají s bezpečnostními a regulačními požadavky veřejného cloudu a softwaru jako služby," uvedl Lawrence Pingree, řídící viceprezident výzkumu ve společnosti Gartner. Zabezpečení cloudu bylo podle zprávy bezesporu nejrychleji rostoucím segmentem trhu. V letech 2020 až 2021 se předpokládá, že výdaje na tento segment dosáhnou 41 %. Pro srovnání: 17 % připadá na zabezpečení dat a 17 % na ochranu infrastruktury, což jsou další dvě nejrychleji rostoucí kategorie.
I když je přidání bezpečnostních kontrol a technologií potřebných pro odpovídající ochranu důležité, doporučujeme malým a středním podnikům, aby se zaměřily na správné typy produktů a soustředily se na osvědčené postupy a procesy pro vybudování silného programu kybernetické bezpečnosti.
Produkty by například měly nejen nabízet ochranu proti běžným hrozbám, jako je ransomware, ale měly by se také snadno používat a nabízet vysokou úroveň kontroly nad servery a uživatelskými zařízeními. V rámci nabídky těchto produktů by měly být identifikovány také rizikové faktory, jako je chybná konfigurace softwaru.
Úsilí v oblasti zabezpečení cloudu
Malé a středně velké společnosti mohou také využít snahy odvětví cloudového zabezpečení k ochraně informačních zdrojů před útoky. Například v červenci 2021 vydala organizace CSA příručku o Modelování hrozeb v cloudu, která poskytuje vedoucím pracovníkům a bezpečnostním týmům návod, jak provádět modelování hrozeb pro cloudové aplikace, jejich služby a související bezpečnostní rozhodnutí.
Příručka obsahuje karty modelování cloudových hrozeb (hrozba, zranitelnost, zdroj a kontrola) a referenční model, který mohou organizace použít k vytvoření vlastního modelu cloudových hrozeb. Tento model umožňuje společnostem zdokonalit své procesy řízení rizik a zlepšit celkový program kybernetické bezpečnosti.
Podle CSA je modelování hrozeb důležité pro bezpečnost softwaru a systémů, zejména pro cloudový software, systémy a služby. Skutečnost, že modely lze použít k vytvoření strukturovaného a opakovatelného přístupu k řešení hrozeb - aby mohly úspěšně předvídat a zmírňovat kybernetické útoky - by měla být pro malé a střední podniky s omezenými zdroji přitažlivá. Díky využití těchto modelů mohou společnosti úspěšně zaujmout proaktivní přístup při předvídání a zmírňování budoucích kybernetických hrozeb a útoků, místo aby reagovaly, až když k nim dojde.
Dalším užitečným zdrojem pro malé a střední podniky, který poskytuje federální vláda USA, je nedávno spuštěné centrum bezpečnostních zdrojů StopRansomware.gov. Webové stránky podle vlády poskytují "jednotné centrum zdrojů o ransomwaru" pro jednotlivce, podniky a další organizace. Poskytuje zdroje kybernetické bezpečnosti z celé federální vlády s cílem chránit podniky a komunity před útoky ransomwaru.
Tyto a další snahy jsou součástí celého odvětví cloudové bezpečnosti, které spojilo zajištění ochrany malých a středních podniků před hrozbami a kybernetickými útoky.
Základy zabezpečení cloudu a vzdělávání
Doporučujeme, aby malé a střední podniky poskytly všem svým zaměstnancům základy kybernetické bezpečnosti a školení (na pravidelné bázi) o různých aspektech zabezpečení cloudu. Tento přístup by měl rovněž zahrnovat vypracování a prosazování důkladných zásad a osvědčených postupů v oblasti bezpečnosti informací. Důvodem je skutečnost, že velká část vektoru cloudových hrozeb souvisí s lidským faktorem, který uvádí problémy s nedostatečnými přístupovými oprávněními, zneužitím účtů, vnitřními hrozbami a zneužitím cloudových služeb.
Potřeba školení a aktualizovaných zásad je o to důležitější, že mnoho zaměstnanců pracuje na dálku na plný nebo částečný úvazek v rámci hybridního pracovního úvazku.
Mezi oblasti, na které se školicí program zaměřuje, patří:
jak se vyhnout phishingu a dalším e-mailovým podvodům
jak rozpoznat malware a jak se s ním vypořádat
správné používání hesel a vícefaktorového ověřování
správa dat a ochrana soukromí
bezpečné používání internetu
správné používání sociálních médií
fyzické zabezpečení zařízení a dalších prostředků IT
Jak vybrat dodavatele cloudu
Ne všichni poskytovatelé cloudových služeb jsou si v oblasti kybernetické bezpečnosti rovni. Někteří vybudovali vysoce bezpečné infrastruktury, které jsou navrženy tak, aby odolaly různým útokům, zatímco jiní mohou mít jen pár nástrojů v naději, že nebudou napadeni.
Malé a střední podniky si musí při hodnocení poskytovatelů udělat domácí úkol a ujistit se, že přijali všechna nezbytná opatření na ochranu svých systémů a dat svých zákazníků. Je důležité zjistit, zda poskytovatel služeb může zaručit nepřetržitou dostupnost sítě a dat.
Mějte na paměti, že bezpečnost je společnou odpovědností poskytovatele cloudových služeb a jeho klientů. Břemeno neleží pouze na jednom nebo druhém. Smlouvy a dohody o úrovni služeb (SLA) by měly jasně řešit odpovědnost za bezpečnost.
Zmírnění bezpečnostních problémů a rizik cloud computingu nakonec spočívá v budování silné kultury kybernetické bezpečnosti, kde je ochrana dat vždy prioritou. K tomu dojde, když všichni zaměstnanci organizace převezmou odpovědnost za využívání správných nástrojů a používání osvědčených postupů a protokolů. Pokud malé a střední podniky podniknou potřebné kroky, mohou vytvořit bezpečnostní program, který by jim mohl závidět i globální podnik.
Comments