Q&A z Adamem Haertle

Co jest według Ciebie bezpieczniejsze: aplikacje w chmurze publicznej czy on
premise?

Jeśli mamy małą firmę, która nie planuje zatrudnić kilku osób zajmujących się IT (o bezpieczeństwie nie mówiąc) to lepiej zrobimy dane trzymając w chmurze, gdzie opiekować się ich bezpieczeństwem będzie spora grupa ekspertów. Z tego powodu warto też wybierać dużych dostawców usług chmurowych, o ugruntowanej reputacji, którzy niejeden atak już widzieli i od strony infrastruktury zabezpieczają swoje rozwiązania na światowym poziomie. To jednak nie wszystko, ponieważ umieszczając swoje dane w chmurze publicznej łatwo popełnić błąd w konfiguracji uprawnień, dając całemu światu dostęp do swoich zasobów. Dopiero od niedawna domyślne ustawienia usług chmurowych największych dostawców istotnie ograniczają ryzyko niepowołanego dostępu. Jeśli zatem decydujemy się na używanie chmury, warto by usługi konfigurował ktoś, kto zna te zagrożenia i potrafi to zrobić profesjonalnie. Ostatnim istotnym czynnikiem ryzyka do rozważenia są kwestie regulacyjne i prawne - w niektórych sektorach prościej jest zatrudnić kilka osób do obsługi firmowych serwerów niż przekonać regulatora, że dane klientów na serwerze w chmurze będą bezpieczne.

Czy w Twojej ocenie statystycznie rzecz biorąc dane są bezpieczniejsze w chmurze publicznej czy infrastrukturze on prem?

Statystycznie pewnie dane bezpieczniejsze będą w chmurze publicznej, zakładając nadzór fachowca dbającego o jej prawidłową konfigurację.

Skoro dobrze skonfigurowana chmura jest bezpieczna to czy ma zasadność
implementacja rozwiązania CASB?

Rozwiązania CASB, czyli monitorujące dostęp do usług chmurowych, pomagają w minimalizacji ryzyk związanych z używaniem usług chmurowych czy ich nieprawidłową konfiguracją. W tak dynamicznie rozwijającym się świecie usług chmurowych trudno jest być na bieżąco ze wszystkimi zagrożeniami. Rozwiązanie CASB zdejmuje z klienta część ryzyka związanego z tym obszarem i przy większej skali korzystania z rozwiązań chmurowych lub w wariancie multicloud, gdzie trudno jest pracownikom firmy opanować wszystkie parametry usług kilku dostawców, może być trafnym pomysłem.

Jaki jest szacowany koszt wdrożenia zabezpieczeń „podstawowego pakietu”
bezpieczeństwa dla firmy?

Przed rozpoczęciem jakiejkolwiek analizy zabezpieczeń trzeba sobie najpierw odpowiedzieć co najmniej na pytanie "co zabezpieczamy" (i mowa nie tylko o liczbie urządzeń ale przede wszystkim ich zawartości), potem "przed kim i przed czym zabezpieczamy" a na koniec "ile wytrzymamy bez danych/po ujawnieniu danych". Najogólniej rzecz biorąc koszt "zabezpieczenia" przeciętnej firmy zatrudniającej kilkaset osób to przynajmniej pół miliona złotych rocznie - i mówię tu o pensjach pracowników działu bezpieczeństwa, zakładając, że potrzebujemy do tego 2-3 osób, z których jedna powinna być bardzo dobra a dwie przyzwoite. Tacy pracownicy są w stanie zadbać o konfigurację darmowych urządzeń wystarczająco dobrze zabezpieczających podstawowe obszary ryzyka.

Czy jakakolwiek firma jest bezpieczna i nie da się do niej włamać? 

Bezpieczeństwo jest zbyt złożone, by być stanem binarnym. Osiągnięcie względnego stanu bezpieczeństwa można wyrazić takim podniesienim kosztu dla atakujących, by nie opłacało im się skutecznie zaatakować ich celu - co jest funkcją wartości tego, co mogą uzyskać po włamaniu. Oczywiście podniesienie kosztu dla atakujących oznacza także ponoszenie kosztów przez broniących i znalezienie równowagi w tym układzie jest sporym wyzwaniem. Warto także pamiętać, że dzisiaj żadna dojrzała organizacja nie twierdzi, że nie da się do niej włamać - najwyżej mówi, że takie włamania szybko i skutecznie wykrywa i to cel, do którego należy dążyć.

Artykuł powstał w ramach programu Security Excellence. Wszystkich CIO, CSO, CISO i szefów działów IT zainteresowanych tym cyklem spotkań zapraszamy tu: www.securityexcellence.pl