Wokół samej „chmury” jak i bezpieczeństwa danych w chmurze pojawiło się mnóstwo teorii. Jednym z największych problemów chmury jest fakt, iż pracownicy bardzo często wykorzystują swoje prywatne usługi w chmurze (np. iCloud, Dropbox czy Google Drive), które nie zostały stworzone z myślą o przechowywaniu danych korporacyjnych. By móc zmniejszyć ilość i samo ryzyko naruszenia polityk bezpieczeństwa dot. sposobu przetwarzania i przechowywania danych w chmurze, organizacje muszą w pierwszej kolejności skoncentrować się na ograniczeniu używania prywatnych usług w chmurze.

Jak wynika z przeprowadzonej ankiety i badania, ponad 1/3 wszystkich mobilnych aplikacji oraz aplikacji w chmurze, nawiązuje połączenia z usługami takimi jak box, Dropbox, SalesForce czy Google Apps. Zdecydowana większość aplikacji obecnie tworzonych i używanych jest ze sobą połączona, a także prywatne usługi w chmurze, wykorzystywane przez pracowników w pracy są z tymi aplikacjami powiązane. Wystawia to dane korporacyjne na ryzyko utraty lub przejęcia przez nieuprawnione osoby. Średnio każda firma posiada w swoim ekosystemie 28 aplikacji Box, 26 SalesForce, 20 Dropbox i 19 różnych aplikacji pochodzących od giganta Google. Pracownicy korzystając z tych aplikacji wykorzystują prywatne usługi w chmurze by uzyskać dostęp do danych biznesowych firm.

Obrazuje to skalę problemu – jak szeroko używane są prywatne usługi w chmurze przez pracowników do przetwarzania i przechowywania danych. Jednocześnie wielopołączeniowy charakter używanych aplikacji mobilnych i usług w chmurze jest sporym wyzwaniem dla działów IT, których zadaniem jest zabezpieczanie danych korporacyjnych przed nieuprawnionym dostępem. Co więcej, utrudniona jest także analiza incydentów bezpieczeństwa po tym, s gdy już się zdarzą.

Prywatne usługi w chmurze – dlaczego są problemem i jak można sobie z nimi poradzić

W wielu wypadkach użycie prywatnych usług przetwarzania i przechowywania danych w chmurze (np. Dropbox), a także aplikacji mobilnych odwołujących się do tych usług, będzie zwiększać ryzyko utraty lub przejęcia danych korporacyjnych przez nieuprawnione osoby. Łamane będą zatem kolejne regulacje i polityki bezpieczeństwa. Dzieje się tak dlatego, że pracownicy z pewnością będą łamać polityki bezpieczeństwa by pozostać produktywnymi, jeżeli nie będzie istnieć dla nich dostatecznie dobra alternatywa.

Przytoczona ankieta przypomina również, że aby zapewnić wymagany poziom zabezpieczeń dla danych, należy nie tylko skupić się na monitoringu dostawcy usług, ale także monitoringu jego produktów oraz sposobu ich działania, łączenia się z innymi usługami oraz metod przetwarzania danych.

Chmura w pewnym stopniu zrewolucjonizowała podejście organizacji do pracy. Działania zmierzające do zagwarantowania poziomów bezpieczeństwa będą zatem umiejętnością balansowania pomiędzy zdolnością do zarządzania ryzykiem utraty lub przejęcia danych a wydajnością pracowników.

Organizacje mogą chociażby podjąć działania zmierzające do ograniczeniu dostępów do prywatnych usług w chmurze poprzez lepsze zabezpieczenie urządzeń końcowych. Odpowiednie zarządzanie tymi urządzeniami, które są terminalami dla usług w chmurze, może z pewnością przyczynić się do polepszenia bezpieczeństwa danych korporacyjnych. Sugeruje się również podjęcie 3 stopniowego, holistycznego podejścia do problemu, celem minimalizacji ryzyk oraz zagwarantowania należytych poziomów bezpieczeństwa:

  1. Polityki bezpieczeństwa– określające typy usług oraz aplikacji, które można wykorzystywać w pracy w odniesieniu do wszystkich typów urządzeń;
  2. Edukowanie pracowników– zmniejszanie ilości wycieków lub utraty danych poprzez zwiększanie świadomości pracowników;
  3. Technologie – odpowiednie zabezpieczenia techniczne, bezpieczne metody autoryzacji zdalnego systemu zarządzania urządzeniami.