07.07.2012
Компания Varonis, специализирующаяся на вопросах информационной безопасности, провела небольшое исследование: как современные компании пользуются сервисами облачной синхронизации? Мы публикуем синопсис итогов этого исследования, очевидно призванного запугать клиентов облачных сервисов и подтолкнуть их к покупке продвигаемых разработчиком систем защиты данных. Оценочные суждения редакции Security News выделены курсивом.
Выяснилось, что в 67% организаций руководство не знает или не уверено, где физически хранится корпоративная информация.
Видимо, по мнению Varonis, топ-менеджеры должны быть в курсе устройства информационной инфраструктуры компании. На практике строгий ответ на этот вопрос может быть неизвестным человеку, вполне компетентному в информационной безопасности предприятия. Что даст вам знание того, где находится тот дата-центр Google, на котором "живет" ваша корпоративная почта?
В 74% организаций не существует процессов отслеживания того, какие именно файлы загружаются в облачные хранилища или экспортируются в удаленные информационные системы.
Внедрение нового бизнес-процесса всегда связано с затратами. Да и как отслеживать? Вводить должность контролера-ревизора по информационной безопасности, который бы регулярно проверял обновления корпоративных данных в облачном сервисе их соответствие корпоративной политике безопасности? Нужно ли это делать? Превысят ли риски, связанные с утечкой, затраты на внедрение этих процедур?
57% респондентов ответили, что концепция "принести свое личное устройство" была бы более привлекательна для их организации, если бы существовала возможность обеспечить защищенность к системе электронного документооборота. И только в 9% изученных компаний есть процедуры для авторизации и контроля доступа к облачным репозитариям. Правда, в 23% компаний заявили, что эти процедуры у них в данный момент разрабатываются.
С другой стороны, в 68% случаев нет даже планов внедрения формальных процедур получения доступа к облачным сервисам, или в компании не считают нужным использовать их. 78% отметили, что хотели бы синхронизировать права доступа корпоративной сети с правами доступа к облачной системе, если будут предоставлены соответствующие инструменты.
Популярная концепция BYOD ("принеси свое личное устройство"), по мнению авторов доклада, таит в себе огромный разрушительный потенциал. Приложения-терминалы корпоративных информационных систем устанавливаются на личные смартфоны и планшетные компьютеры. Потеря такого устройства может привести к потере, изменению или утечке корпоративных данных. Повсеместное распространение сервисов облачной синхронизации без должной заботы о защите данных авторы исследования сравнимают с часовой бомбой.
Как бы то ни было, практика показывает, что облачные сервисы обычно защищены гораздо лучше автономных систем. Исследование выглядит тенденциозно; и сами вопросы имеют несколько манипулятивный характер. Но справедливо и то, что описанные в новости риски существуют. И лучше принять меры по их уменьшению.