Firmy se z bezpečnostích důvodů bojí přechodu do cloudu. Zbytečně – k trendu se přidávají už i banky
27. 6. 2022 – fintechcowboys | Doba čtení: 4 min
Cloud je jedním z novodobých trendů, který od základů změnil způsob fungování firemního IT. A zatímco startupové prostředí se na něj adaptovalo velmi rychle, řada korporací, zejména z konzervativních odvětví, stále váhá. Podle průzkumu PwC totiž bezpečnostní obavy odrazují od přechodu do cloudu 63 % firem. A to navzdory faktu, že se v nedávné době ke změně odhodlaly i přední banky, které podléhají řadě regulací a mají vysoké nároky na bezpečnost. Trendu jdou však naproti také největší poskytovatelé cloudu (Amazon, Microsoft, Google), kteří kromě výkonu nabízí i komplexní podporu a celou paletu služeb, jež pokryjí potřeby většiny firem.
Z hlediska bezpečnosti kolem cloudu stále panuje mnoho předsudků, a některé firmy si tak raději udržují v provozu vlastní servery, aby měly data ve své centrále, a tedy fyzicky pod kontrolou. I tomuto požadavku je možné při nasazování cloudu vyhovět, základem je vždy pochopit potřeby a obavy dané firmy – podle nich je pak možné navrhnout optimální řešení a minimalizovat rizika.
Vyhněte se lidské chybě
Představitelé firem, kteří mají o přechodu do cloudu rozhodovat, se obvykle setkají se známými argumenty – flexibilita v rozšiřování systému a navyšování výkonu, decentralizace, dostupnost prakticky ze všech koutů světa a odolnost vůči výpadkům. Proč by ale měli šéfové firem podstoupit celý náročný proces, když mohou jednoduše a levně dokoupit další servery, jako to byli zvyklí dělat dosud?
U přechodu na cloud je třeba hledět do budoucna. Jeho největší výhodou je, že už nikdy nebudete muset nabírat nové odborníky, respektive adminy, kteří by se starali o chod serverů. Náklady totiž nepředstavuje jenom nákup hardwaru, ale i plat pracovní síly, která se o neustále bobtnající systém bude muset starat. Víc lidí navíc zákonitě znamená větší náklady na údržbu, bezpečnost i prostor pro chyby.
Prověrkou bezpečnosti bývá samotný přechod na cloud
Spousta manažerů považuje svůj systém za bezpečný, pokud do něj nikdo jiný nevidí. Nic ale není dál od pravdy. Pokud nemá firma svoje IT v podstatě izolované od zbytku světa, těžko si sama jen tak vyvine bezpečný a spolehlivý systém. Spíše tomu bývá naopak, v praxi lze často narazit na těžkopádné aplikace se složitou architekturou, v nichž se sotva vyznají jejich tvůrci. Přechod na cloud pak bývá reálně prvním bezpečnostním auditem, který firma podstoupí.
Právě bezpečnostní audit pomáhá odhalit kritické části systému. Následně je třeba jej dekomponovat na samostatné části, nefungující opravit a navrhnout novou architekturu. Je na zvážení dané firmy, zda chce přejít na cloud kompletně, nebo si přece jen ponechá kritickou infrastrukturu na vlastních serverech – a rozhodne se tak pro takzvaný hybridní cloud. V tom případě nestačí běžné bezpečnostní procesy, ale je třeba dívat se na systém jako celek a ideálně myslet na to, kde začíná a končí odpovědnost dodavatele. Bez jasně vytyčených mantinelů si totiž opět zaděláváte na budoucí problémy.
Poznejte předem svého dodavatele
Při přechodu do cloudu si předem proklepněte firmu, které chcete svá data svěřit. U lokálních společností můžete narazit na nedostatečnou paletu služeb, omezené pokrytí i neplnění norem, jako je GDPR. U globálních hráčů pak zase může být jejich hlavní nevýhodou právě velikost. Těžko potom můžete na svého dodavatele dosáhnout, nebo dokonce pomýšlet na provedení auditu. Dobrým vodítkem je, zda má daný poskytovatel lokální pobočku a splňuje potřebné bezpečnostní normy, včetně zmiňovaného GDPR. Myslete také na to, že si nestačí prověřit jen samotného dodavatele, ale i celý řetězec, pokud využívá třeba software třetích stran.
V neposlední řadě neopomeňte vendor-lock, tedy absolutní závislost na infrastruktuře či systému dodavatele. U cloudu se typicky stupňuje s růstem vaší firmy a množstvím nástrojů, které využíváte. Ty jsou totiž mnohdy jedinečné a jakákoli změna je pak příliš drahá, nebo dokonce nemožná. Proto je třeba připravit si do budoucna scénáře, které vám pomohou se s vendor-lockem vypořádat.
Cloud není jen infrastruktura, ale i sada potřebných služeb
Velcí poskytovatelé cloudu přinášejí nejen samotnou infrastrukturu (IaaS – Infrastructure as a Service), ale rovnou celou platformu s širokou paletou integrovaných nástrojů (PaaS – Platform as a Service), například databáze, nástroje pro zálohování i monitorování systému, a to rovnou optimalizované na hardware či výkon. Někteří poskytovatelé přidávají i vlastní kancelářské nástroje pro denní provoz firmy (G Suite, Office 365), ale umožňují rovněž rychlé nasazení CRM či BI.
To jsou věci, které by běžná firma po časové i finanční stránce těžce udržovala v chodu. Výhodou cloudu rovněž je, že podporu a bezpečnost řeší celé týmy vývojářů a specialistů. Nativní podpora zálohování má například tak vysoké SLA (Service-level Agreement), že prakticky nemůže dojít ke ztrátě dat. Cloud také vyniká vysokou odolností proti DDoS útokům (spočívajícím v odeslání obrovského množství požadavků, často z většího počtu počítačů, s cílem zahltit server, a vyřadit tím službu) – systém je identifikuje a odvede nápor mimo systém firmy, takže nedojde k výpadkům.
Nejvetším rizikem není technologie, ale zaměstnanci
Největším rizikem ve firmách bývá lidský faktor. U cloudu to především znamená zvládnout administrativní bezpečnost, tedy omezení přístupů a práv ke změnám podle rolí v týmu. Druhou oblastí je správa zařízení, která se přihlašují do interní sítě – je třeba ověřit, zda je daný hardware bezpečný. V ideálním případě dává firma zaměstnancům pro práci vlastní zařízení. V opačném případě je třeba riziko ošetřit pomocí specializovaného softwaru.
Cloud sám o sobě je kompletně šifrovaný, neplatí tedy zažitá představa, že se někdo na vaše data dívá. Zaměstnanci poskytovatelů mají obvykle certifikace na ISO a systém zároveň okamžitě zjistí, pokud by někdo s daty neautorizovaně pracoval.
Cloud roste společně s firmou
Každá firma chce růst a rozšiřovat svůj byznys. To dnes není možné bez rozvoje IT systému. Cloud roste společně s firmou, další výkon je možné získat levně a na pár kliknutí. Rovněž překonává rizika typická pro on-premise, zvládne velké nápory, typicky špičku na e-shopu před Vánoci, nebo jej využívají energetické společnosti pro výpočet kapacit sítě. Jeho rozšíření do nové země je také velice jednouché. Právě proto je tak oblíbený u startupů, které předem počítají s expanzí do zahraničí.
S globální dostupností se pojí i trend vzdálené spolupráce. Podle dat PwC zvyšuje využívání cloudu výkonnost zaměstnanců až o 30 %, nehledě na již zmiňované úspory na lidech starajících se o infrastrukturu. Jedná se zkrátka o nezadržitelný celosvětový trend, na který naskakují malé firmy i softwaroví giganti. Například Atlassian či SAP ustupují od serverových řešení a své služby přesouvají do cloudu, který se pro firmy stává pouze měsíčním nákladem. Odpadá tím spousta starostí, a mohou se tak soustředit na vlastní byznys.
Zdroj: Jiří Riedl, softwarový architekt a specialista na bezpečnost BiQ Group