Jak wskazuje Gartner jednym z głównych trendów w gospodarce światowej jest dziś Cloud Shift, czyli coraz silniejszy nacisk na wykorzystanie chmury obliczeniowej. Analitycy tej firmy twierdzą, że do 2020 roku niewykorzystywanie chmury będzie w przedsiębiorstwach zjawiskiem tak rzadkim, jak obecnie brak dostępu do Internetu. Jednocześnie według wielu światowych dostawców chmury, czy też danych Eurostatu, polski rynek, mimo sporej dynamiki, wciąż odstaje od globalnej czołówki. Jednym z powodów wolniejszej implementacji modelu cloud w Polsce są zachowawcze postawy firm i obawy związane z bezpieczeństwem. Czy są one uzasadnione w świetle chmurowych doświadczeń firm z całego świata?
Zagrożenia w chmurze – wyimaginowane czy prawdziwe?
Według danych z raportu Cloud Security 2016, opublikowanego przez CloudPassage, aż 91 proc. przedsiębiorców obawia się o bezpieczeństwo informacji przechowywanych w chmurze. Jednak w tym samym badaniu 55 proc. ankietowanych przyznało, że nigdy nie doświadczyło żadnych incydentów związanych z korzystaniem z chmury. Ponadto 36 proc. respondentów stwierdziło, że nie wie lub nie może powiedzieć, czy jakikolwiek incydent miał miejsce w ich organizacji. Jedynie 9 proc. badanych zetknęło się kiedykolwiek z niedogodnościami wynikającymi z użytkowania chmury. Analiza wskazuje również, że dla ponad połowy przedsiębiorców aplikacje pracujące w chmurze są tak samo lub nawet bardziej bezpieczne od tych, które działają w lokalnej infrastrukturze firmy. Co więcej, raport pokazał, że badani tak naprawdę nie boją się samej chmury lecz potencjalnie szkodliwego działania pracowników. Największe obawy ankietowanych (53 proc.) wzbudziła możliwość nieautoryzowanego dostępu do danych przy użyciu kont służbowych oraz niewłaściwa kontrola dostępu.
Działy IT z roku na rok mają coraz mniej obaw związanych z bezpieczeństwem w chmurze
Jak wskazuje State of the Cloud Report 2017, opracowanie przygotowane przez RightScale, nawet w centralnych działach IT, które w przedsiębiorstwach zazwyczaj ponoszą największą odpowiedzialność za bezpieczeństwo, w ciągu ostatnich kilku lat znacznie zmniejszyły się obawy związane z bezpieczeństwem chmury. W 2015 roku 41 proc. szefów działów IT deklarowało takie obawy, a w bieżącym roku odsetek ten spadł do 35 proc. Co więcej bojaźń dotycząca kwestii bezpieczeństwa istotnie zmniejsza się wraz z poziomem chmurowej dojrzałości przedsiębiorstwa. W firmach stawiających pierwsze kroki w modelu cloud 32 proc. badanych dostrzega wyzwania związane z bezpieczeństwem w chmurze, natomiast w organizacjach zaawanasowanych w wykorzystaniu usługowego IT jedynie 19 proc. ankietowanych ma jakiekolwiek obawy w tym obszarze. Dla nich zdecydowanie większym wyzwaniem jest kwestia optymalizacji zarządzania kosztami związanymi z użytkowaniem chmury.
Chmura obliczeniowa zyskuje znaczenie w strategii bezpieczeństwa IT
Pomimo obaw niektórych organizacji, większość nowoczesnych przedsiębiorstw wykonuje zdecydowany zwrot ku chmurze, m.in. właśnie w celu lepszej ochrony zasobów IT. Niedawne badanie firmy NetApp, technologicznego partnera Aruba Cloud, pokazało, że główną motywacją przedsiębiorstw z regionu EMEA przy wdrażaniu chmury jest chęć zwiększenia poziomu bezpieczeństwa. 60 proc. dyrektorów ds. IT z tego regionu dostrzega możliwość usprawnienia ochrony zasobów informatycznych poprzez wykorzystanie modelu cloud. Jedynie oszczędności oraz elastyczność oferowane przez chmurę w podobnie dużym zakresie motywują firmy do implementacji usługowego IT. Wnioski z 19. Światowego Badania Bezpieczeństwa Informacji firmy doradczej EY również sugerują, że obecnie organizacje chętnie wdrażają chmurę w ramach strategii bezpieczeństwa. Spośród 1735 dyrektorów i menadżerów IT, blisko 40 proc. stwierdziło w tym sondażu, że w bieżącym roku w ich firmach chmura otrzymała wysoki priorytet. Co więcej 45 proc. ankietowanych przyznało, że w 2017 roku przeznaczy na chmurę więcej środków finansowych niż rok wcześniej.
Infrastruktura chmurowa pomaga zagwarantować wysoką dostępność danych i usług IT
Zgodnie z przewidywaniami analityków, chmura i różne sposoby jej użytkowania zmieniają podejście firm do ochrony danych. Z opracowania Veeam Availability Report 2017 dowiadujemy się, że według 43 proc. ankietowanych menedżerów i dyrektorów IT dostawcy usług chmurowych mogą zapewnić lepszy poziom ochrony krytycznych danych niż wewnętrzne zasoby IT. Dlatego przedsiębiorstwa chętnie inwestują w usługi w chmurze, które dbają o ciągłość działania oraz wysoką dostępność danych i aplikacji. Wśród tych rozwiązań szczególną uwagą cieszy się odzyskiwanie awaryjne w oparciu o chmurę (DRaaS) i backup[1] jako usługa (BaaS). We wspomnianym sondażu EY usługi tego typu okazały się najważniejszym priorytetem na 2017 rok (57 proc. respondentów), spośród 27 obszarów związanych z gwarantowaniem bezpieczeństwa IT w organizacji.
Bezpieczeństwo danych w chmurze w perspektywie unijnego rozporządzenia RODO
RODO, czyli rozporządzenie ogólne o ochronie danych osobowych (ang. GDPR) zacznie obowiązywać 25 maja 2018 roku. Nowe prawo wywiera silny wpływ na rynek IT, włączając dostawców usług w modelu cloud. Co ciekawe, niedawny sondaż pokazał, że 52 proc. polskich firm jeszcze nie słyszało o tej regulacji a 67 proc. nie wie ile czasu pozostało na wdrożenie rozporządzenia.
Jakie korzyści oferuje zatem chmura w kontekście RODO? Jedną z nich jest możliwość przeniesienia części obowiązków i odpowiedzialności na dostawcę tego typu usług. Sprawdzony usługodawca posiada zarówno certyfikowaną infrastrukturę jak też rygorystyczne procedury, które pozwalają zachować bezpieczeństwo danych i zgodność z wymogami prawa. Warto wspomnieć, że dostawcy usług w chmurze od samego początku śledzili unijną inicjatywę RODO, a niektórzy z nich byli zaangażowani w jej rozwój. Bezpieczeństwo danych powierzonych przez klientów, to absolutny priorytet dla naszej branży. Dlatego Aruba Cloud wspólnie z koalicją ponad 20 dostawców usług infrastruktury chmurowej w Europie (CISPE) wprowadziła kodeks postępowania w dziedzinie ochrony danych. Zgodnie z nim dostawcy usług IaaS nie mogą eksplorować danych ani[2] profilować danych osobowych klientów na potrzeby marketingu, reklamy lub podobnych działań. Nie mogą tego czynić ani na potrzeby własne ani w celu odsprzedaży stronom trzecim. To tylko jedno z wielu obostrzeń, jakie nałożyli na siebie usługodawcy. Istotnym faktem jest to, że kodeks CISPE wyprzedził wprowadzenie RODO i jest on zgodny z wymaganiami określonymi w unijnym rozporządzeniu, które zacznie obowiązywać w 2018 roku.
W Aruba Cloud zauważamy, że klienci coraz częściej wybierają usługi w chmurze nie tylko ze względu na elastyczność, skalowalność i możliwość uzyskania oszczędności, lecz także z powodu dbałości o bezpieczeństwo. Najbardziej wymagający klienci chcą lokować dane w chmurowych centrach danych spełniających najwyższe światowe standardy, tzn. posiadających certyfikat Rating 4 (ANSI/TIA 942-A-2014). W związku z implementacją rozporządzenia RODO niektóre firmy w pełni świadomie wybierają usługi chmurowe w Aruba Cloud, poszukując tzw. georedundancji w ramach Europejskiego Obszaru Gospodarczego. Dzięki niej ryzyko utraty lub niedostępności danych zostaje niemal całkowicie wyeliminowane, a dodatkowo przedsiębiorcy zyskują gwarancję, że ich zasoby będą przetwarzane wyłącznie w obrębie terytorium Unii Europejskiej. Biorąc pod uwagę m.in. niejawne programy ingerowania w dane elektroniczne, przede wszystkim w Stanach Zjednoczonych, wiele europejskich firm chce zadbać, by ich pliki i dokumenty nie wypłynęły poza obszar regulowany przez organy UE.
Marcin Zmaczyński
Country Manager Aruba Cloud w Europie Środkowo-Wschodniej