Οι υπηρεσίες cloud συνιστούν μια  επιχειρηματική αξιοποίηση  των δυνατοτήτων που παρέχουν τα σύγχρονα DataCenters. Στο περιβάλλον αυτό οι απαιτήσεις ασφάλειας πληροφοριών διογκώνονται λόγο των πολλαπλών “πελατών” που καλείται να εξυπηρετήσει το σύγχρονο DataCenter που κατοικεί στα σύννεφα.

Το cloud computing, είναι ένα μοντέλο παροχής υπηρεσιών πληροφορικής στο οποίο ο τελικός χρήστης μπορεί με εύκολο τρόπο να κάνει χρήση υποδομών και υπηρεσιών χωρίς να χρειάζεται να επενδύσει σε πληροφοριακή υποδομή και κάθε λογής πόρους. Η υποδομή και οι υπηρεσίες προσαρμόζονται στις ανάγκες του με τρόπο σχεδόν αυτοματοποιημένο, ενώ η πρόσβαση και η διαχείριση των υπηρεσιών που του προσφέρονται γίνεται μέσω του διαδικτύου.

Συγκεκριμένα, το cloud αφορά στη χρήση πλήθους προσφερομένων δικτυακών υπηρεσιών, εφαρμογών, πληροφοριών και υποδομών πληροφοριακών συστημάτων οι οποίες υλοποιούνται κάνοντας χρήση ισχυρών υποδομών πληροφοριακών συστημάτων, δικτύου και τεχνολογιών αποθήκευσης & επεξεργασίας δεδομένων.

Όλα τα παραπάνω προσαρμόζονται απόλυτα και γρήγορα στις ανάγκες του τελικού χρήστη. Ο τελικός χρήστης, ο οποίος δε χρειάζεται να επενδύσει σε υποδομή και πόρους, μπορεί να κάνει χρήση των προσφερόμενων υπηρεσιών – υποδομών, ανάλογα με τις εκάστοτε ανάγκες του τόσο σε ότι αφορά στο χρόνο χρήσης των υπηρεσιών αλλά και στους πόρους που απαιτούνται για την κάλυψη των αναγκών του (on-demand).

Πόσο όμως τα παραπάνω διαφέρουν και διαφοροποιούνται από το προσδιορισμό και τη λειτουργία ενός συγχρόνου Data Center ;

Η έννοια των data centers, αφορά στη δημιουργία ενός κεντρικού σημείου διαχείρισης και επεξεργασίας των εταιρικών πληροφοριών. Τα πληροφοριακά συστήματα και οι εφαρμογές διατρέχουν το κύκλο λειτουργίας τους σε συγκεκριμένο και κατάλληλα εξοπλισμένο κεντρικό σημείο, μέσω του οποίου εξυπηρετούνται οι χρήστες των εκάστοτε εφαρμογών.

Οι σημερινές διαθέσιμες τεχνολογίες τόσο σε επίπεδο επικοινωνιών & δικτύων, όσο και σε επίπεδο υπολογιστικών συστημάτων και λογισμικού, υποβοηθούμενα από τη τεχνολογία αποθήκευσης δεδομένων (storage), ελαχιστοποιούν την ανάγκη για συνύπαρξη συστημάτων και χρηστών στο ίδιο (ή πολύ κοντινό) χώρο και δίνουν τη δυνατότητα στις εταιρείες για οικονομίες κλίμακας, μέσω της λειτουργίας δικών τους data centres ή μέσω της χρήσης data centres με τη μορφή υπηρεσίας (data Center as a service, cloud services).

Συνεπώς, οι υπηρεσίες cloud αποτελούν τη επιχειρηματική έκφανση και εκμετάλλευση των δυνατοτήτων που παρέχουν τα σύγχρονα Data Centers. Στο συγκεκριμένο περιβάλλον οι απαιτήσεις ασφάλειας πληροφοριών διογκώνονται λόγο των πολλαπλών “πελατών” που καλείται να εξυπηρετήσει το σύγχρονο Data Center που κατοικεί στα σύννεφα.

Χαρακτηριστικά και τρόποι παροχής υπηρεσιών και υλοποίησή τους

Τα κύρια χαρακτηριστικά των υποδομών cloud είναι τα ακόλουθα:

  • Οι υπηρεσίες προσφέρονται στο τελικό χρήστη για όσο χρονικό διάστημα επιθυμεί, χωρίς τη παρέμβαση ή την εμπλοκή του παρόχου της υποδομής Cloud (On-demand self-service).
  • Οι υπηρεσίες είναι προσβάσιμες μέσω (δια) δικτύου και είναι ανεξάρτητες από οποιαδήποτε άλλη υπολογιστική πλατφόρμα χρησιμοποιεί ο τελικός χρήστης (broadband network access).
  • Συγκέντρωση μεγάλου αριθμού και ισχύς υπολογιστικών συστημάτων τα οποία χρησιμοποιούνται για την κάλυψη των αναγκών πολλών πελατών ταυτόχρονα (resource pooling).
  • Άμεση προσαρμογή στις ανάγκες του τελικού χρήστη.Οι πόροι που χρησιμοποιούνται για την παροχή των υπηρεσιών μπορούν να αναβαθμιστούν σχεδόν αυτόματα προκειμένου να καλύψουν τις απαιτήσεις των πελατών (rapid elasticity).
  • Η χρήση των πληροφοριακών πόρων μπορεί να βελτιστοποιηθεί κάνοντας χρήση μοντέλων χρέωσης των υπηρεσιών ανάλογα με τη χρήση τους (measured service).

Υπάρχουν τρία βασικά μοντέλα παροχής υπηρεσιών και το καθένα αντιπροσωπεύει διαφορετικό επίπεδο συμμετοχής του παρόχου των υπηρεσιών Cloud στο επιχειρηματικό και λειτουργικό μοντέλο του εκάστοτε Οργανισμού:

  • Infrastructure as a ServiceΣτο συγκεκριμένο μοντέλο ο πάροχος, διαθέτει στον εκάστοτε Οργανισμό τη βασική υποδομή των πληροφοριακών συστημάτων που χρειάζεται (συστήματα, δικτυακή υποδομή, συστήματα αποθήκευσης δεδομένων). Όσον αφορά στα λειτουργικά συστήματα και τις εφαρμογές, αυτά αποτελούν ευθύνη του χρήστη της υπηρεσίας και όχι του πάροχου.
  • Platform as a Service – Στο μοντέλο αυτό ο πάροχος διαθέτει στον εκάστοτε Οργανισμό, τόσο τις υπολογιστικές υποδομές που χρειάζεται, καθώς και  πλατφόρμες ανάπτυξης εφαρμογών στις οποίες οι χρήστες μπορούν αναπτύξουν τις δικές τους εφαρμογές. Αυτό σημαίνει ότι ο πάροχος της υπηρεσίας είναι σε θέση να υποστηρίξει εργαλεία ανάπτυξης προγραμματισμού, βιβλιοθήκες, και υπηρεσίες.
  • Software as a Service- Οι Οργανισμοί, χρήστες της υπηρεσίας κάνουν χρήση τόσο των παρεχόμενων πληροφοριακών υποδομών αλλά και εφαρμογών, η χρήση των οποίων παρέχεται με τη μορφή υπηρεσίας.

Σε κάθε ένα από τα παραπάνω μοντέλα παροχής υπηρεσιών μέσω υποδομών cloud, οι χρήστες δεν οικειοποιούνται, διαχειρίζονται ή ελέγχουν την παρεχόμενη υποδομή. Μπορούν, ωστόσο, να έχουν (περιορισμένο) έλεγχο σε επίπεδο λειτουργικού συστήματος και εφαρμογών.

Οι υποδομές cloud μπορούν να υλοποιηθούν με διάφορους τρόπους, είτε πρόκειται να λειτουργήσουν εσωτερικά ενός Οργανισμού είτε πρόκειται να χρησιμοποιηθούν από πάροχο σχετικών υπηρεσιών με σκοπό την κάλυψη των αναγκών πολλαπλών πελατών.

Οι υποδομές Cloud στις περισσότερες περιπτώσεις υλοποιούνται με κάποιον από τους παρακάτω τρόπους:

  • Public Cloud – Η υποδομή προσφέρει υπηρεσίες στο ευρύ κοινό. Έχει αναπτυχθεί στο πλαίσιο της υποδομής ενός παρόχου υπηρεσιών Cloud και λειτουργεί εκτός των εταιρικών πληροφοριακών υποδομών των εκάστοτε χρηστών της.
  • Community Cloud – Η υποδομή cloud προορίζεται για αποκλειστική χρήση από συγκεκριμένες ομάδες χρηστών ή Οργανισμών (π.χ.., κάθετες βιομηχανίες, σχολεία, ερευνητές, προγραμματιστές λογισμικού) που έχουν κοινές απαιτήσεις και αντικείμενο εργασίας. Οι εν λόγο υποδομές μπορεί να υλοποιηθούν εντός ενός Οργανισμού ή στο πλαίσιο της υποδομής ενός παρόχου υπηρεσιών (outsourcing).
  • Private Cloud – Η υποδομή μπορεί να χρησιμοποιηθεί από ένα και μόνο Οργανισμό (πελάτη). Οι εν λόγο υποδομές μπορεί να υλοποιηθούν εντός ενός Οργανισμού ή στο πλαίσιο της υποδομής ενός παρόχου υπηρεσιών.
  • Hybrid Cloud – Η υποδομή αποτελεί σύνθεση των παραπάνω τρόπων υλοποίησης. Κάθε τρόπος υλοποίησης λειτουργεί σα μια ξεχωριστή υποδομή του ίδιου παρόχου υπηρεσιών cloud.

Οι υπηρεσίες και γενικότερα οι υποδομές cloud υπόσχονται μια σειρά από οφέλη που περιλαμβάνουν τη μετατροπή του πάγιου κόστους σε λειτουργικό, τη γενικότερη μείωση του κόστους των λειτουργικών δαπανών, μεγαλύτερη ευελιξία, τυποποίηση στη παροχή υπηρεσιών, βελτίωση της ικανοποίησης των χρηστών και ανταγωνιστικό πλεονέκτημα μέσω της βελτιστοποίησης χρήσης της τεχνολογίας. Να σημειώσουμε ότι μερικά από αυτά τα οφέλη είναι αρκετά υποκειμενικά και ως εκ τούτου, είναι δύσκολο να μεταφραστούν σε αριθμούς ή να μετρηθούν σε οικονομικά μεγέθη.

Κίνδυνοι & απειλές ασφάλειας

Τα χαρακτηριστικά του cloud είναι τόσο οι τεράστιες ευκαιρίες που προσφέρει, καθώς και οι κίνδυνοι που το συνοδεύουν. Μερικοί από τους κινδύνους ήδη υπάρχουν, με τη χρήση του cloud οι επιπτώσεις τους αυξάνονται και ταυτόχρονα νέοι κίνδυνοι εμφανίζονται. Η κατανόηση των κινδύνων είναι εξίσου σημαντική με τη κατανόηση του πως το cloud θα βοηθήσει τον εκάστοτε Οργανισμό.

Ο προσδιορισμός και η αποτίμηση των κινδύνων είναι διαφορετική για κάθε Οργανισμό και εξαρτάται από το μοντέλο cloud που θα επιλέξει να χρησιμοποιήσει. Σε μεγάλο βαθμό, οι κίνδυνοι εξαρτώνται και από το τρόπο υλοποίησης του cloud. Εάν δηλαδή πρόκειται για εσωτερική υποδομή ή για την υποδομή ενός παρόχου υπηρεσιών cloud. Το δεύτερο σενάριο είναι λογικό να έχει και τη μεγαλύτερη επικινδυνότητα.

Οι κίνδυνοι που αφορούν στο cloud εξαρτώνται και από την τεχνική αρχιτεκτονική η οποία θα ακολουθηθεί για τη υλοποίηση της εκάστοτε υποδομής.

Παρόλα αυτά υπάρχουν ορισμένες κατηγορίες κινδύνων οι οποίες αποτελούν σημείο αναφοράς σε όλες τους τρόπους παροχής υπηρεσιών cloud.

Πιστοποίηση ταυτότητας – Ένα από τα κρίσιμα θέματα που αφορούν στη χρήση υπηρεσιών μέσω του δια-δικτύου είναι η πιστοποίηση της ταυτότητας των χρηστών. Ενώ η τεχνολογία που αφορά στη πιστοποίηση της ταυτότητας των χρηστών έχει βελτιωθεί με την πάροδο του χρόνου, εξακολουθούν να υπάρχουν σοβαροί κίνδυνοι πλαστοπροσωπίας στο χώρο του διαδικτύου. Είναι πολλές οι περιπτώσεις που επιτυχημένες επιθέσεις μη εξουσιοδοτημένης πρόσβασης και υποκλοπής / διαστρέβλωσης δεδομένων, έχουν ξεκινήσει από αδυναμίες των σχημάτων πιστοποίησης ταυτότητας ή από πλαστοπροσωπία. Στη περίπτωση που πολλές και κρίσιμες Επιχειρηματικές πληροφορίες βρίσκονται σε υποδομές cloud, τότε η πιστοποίηση ταυτότητας είναι ένα από τα σημαντικότερα θέματα που χρειάζεται να διαχειριστούμε.

Προστασία της ιδιωτικότητας και ασφάλειας των δεδομένων  – Ο έλεγχος των δεδομένων από τους παρόχους υπηρεσιών είναι ένα θέμα που η συζήτηση του κρατάει πολλά χρόνια και μάλλον έχει κουράσει, μιας και οι όποιες λύσεις δίνονται (θεσμικά και τεχνικά) είτε δεν εφαρμόζονται είτε δεν λύνουν το πρόβλημα. Στη περίπτωση του cloud έκτος από τις τεχνικές, διαχειριστικές και συμβατικές δικλείδες ασφάλειας χρειάζεται στενή συνεργασία μεταξύ παρόχου και πελάτη. Χρειάζεται οι πελάτες να διαμορφώνουν τις δικές τους απαιτήσεις ανάλογα με τη κρισιμότητα των δεδομένων και να κατοχυρώνουν συμβατικά το δικαίωμά τους για έλεγχο των υποδομών των εκάστοτε παρόχων, σχετικά με το προσφερόμενο επίπεδο ασφάλειας πληροφοριών. Σε κάθε περίπτωση οι εναπομείναντες κίνδυνοι απώλειας δεδομένων στο διαδίκτυο παραμένουν σε υψηλά επίπεδα.

Διασύνδεση με συστήματα στο εσωτερικό του Οργανισμού – Οι περισσότεροι Οργανισμοί είτε δεν χρειάζεται είτε δεν είναι έτοιμοι να χρησιμοποιήσουν υπηρεσίες cloud για το σύνολο των πληροφοριακών τους υποδομών. Υπάρχουν περιπτώσεις που απαιτείται η επικοινωνία συστημάτων τα οποία λειτουργούν στο εσωτερικό ενός Οργανισμού με συστήματα και υπηρεσίες που βρίσκονται στο cloud. Η πολυπλοκότητα των ενδο-εταιρικών εφαρμογών και η δημιουργία διεπαφών και επικοινωνίας μεταξύ διαφορετικών εφαρμογών και τεχνολογιών αυξάνει τους κινδύνους έκθεσης των δεδομένων.

Διαθεσιμότητα Συστημάτων & Υπηρεσιών – Τα πληροφοριακά συστήματα και οι εφαρμογές πλέον αποτελούν μέρος του παραγωγικού γίγνεσθαι ενός Οργανισμού καθώς και εργαλείο υλοποίησης της στρατηγικής του. Ως εκ τούτου η αδιάλειπτη λειτουργία και η διαθεσιμότητα των πληροφορικών πόρων είναι σημαντική. Η διαθεσιμότητα των συστημάτων αυτών πρέπει να είναι σχεδόν εγγυημένη. Αυτό σημαίνει επιπλέον διαδικασίες ανάκαμψης των πληροφοριακών πόρων, αξιόπιστα αντίγραφα ασφάλειας, δόκιμες ανάκτησης συστημάτων και εφαρμογών.

Τα παραπάνω αυξάνουν το κόστος διαχείρισης των πληροφοριακών πόρων. Αυτό αποτελεί και ένα σημείο στο οποίο ο πάροχος υπηρεσιών cloud μπορεί να εφαρμόσει οικονομίες κλίμακας μιας και μπορεί να εξυπηρετήσει τις ανάγκες πολλών και διαφορετικών πελατών χρησιμοποιώντας κοινή αρχιτεκτονική αυξημένης διαθεσιμότητας και αδιάλειπτης λειτουργίας.

Επιχειρηματική συνέχεια – Σημαντικά ερωτήματα προκύπτουν από το κίνδυνο αδυναμίας παροχής των συμφωνηθέντων υπηρεσιών από το πάροχο των υπηρεσιών cloud. Δεν αναφερόμαστε σε περιπτώσεις προσωρινής απώλειας της διαθεσιμότητα των υπηρεσιών και των δεδομένων, αλλά σε περιπτώσεις ολοκληρωτικής αδυναμίας παροχής των υπηρεσιών ή και απώλειας των εταιρικών δεδομένων.

Αρκεί να αναρωτηθούμε τι θα συμβεί εάν ο πάροχος των υπηρεσιών δεν υφίσταται αύριο? Η οικονομική και λειτουργική βιωσιμότητα του παρόχου υπηρεσιών cloud έρχεται στο προσκήνιο.

Προσθέστε σε αυτό το γεγονός της εγκληματικότητας στον κυβερνοχώρο που είναι σε έξαρση, αλλά και ότι πολλές από τις υποδομές παροχής των υπηρεσιών cloud να λειτουργούν σε χώρες αυξημένου κινδύνου λόγω πολιτικών και οικονομικών αναταραχών. Τέτοιου είδους κίνδυνοι έχουν μεγαλύτερη επίπτωση σε περιπτώσεις που όλη ή το σημαντικότερο μέρος της πληροφοριακής υποδομής ενός Οργανισμού λειτουργεί μέσω υπηρεσιών cloud.

Κυριότητα των δεδομένων και άλλα νομικά ζητήματα – Στις περιπτώσεις που μεγάλο μέρος των πληροφοριακών πόρων εξαρτάται από το πάροχο των υπηρεσιών cloud, προκύπτουν διάφορα ερωτήματα. Για παράδειγμα, ποιος είναι ο πραγματικός κάτοχος  των δεδομένων; Πως μπορούμε να πάρουμε τα δεδομένα μας, στην περίπτωση που ο πάροχος των υπηρεσιών cloud πάψει να υφίσταται; Ποια θα είναι η νομική δικαιοδοσία στην περίπτωση διαφορών και διαφωνιών; Σε ποιόν ανήκουν εφαρμογές που θα αναπτυχθούν? Ποιος είναι υπεύθυνος για παραβιάσεις της ασφάλειας των δεδομένων; Οι Νομικές επιπλοκές μπορούν να αποτελέσουν σοβαρό τροχοπέδη για μια επιχείρηση και θα μπορούσε ενδεχομένως να οδηγήσει σε διακοπή της συνέχειας των επιχειρηματικών της δραστηριοτήτων.

 

Αντιμετώπιση των κινδύνων σε περιβάλλοντα Cloud

Οι παραπάνω κίνδυνοι καθώς και όποιοι άλλοι έχει προσδιορίσει ο κάθε Οργανισμός, χρήζουν ανάγκη αποτελεσματικής διαχείρισης και όχι κάποιας θεωρητικής προσέγγισης.

Η λίστα απαιτήσεων που ακολουθεί, σκιαγραφεί τις ελάχιστες αλλά απαραίτητες δικλείδες ασφάλειας που διέπουν το σχεδιασμό και τη λειτουργία ενός Data Center που πρόκειται να αποτελέσει τη καρδιά λειτουργίας των παρόχων υπηρεσιών Cloud.

Ο τρόπος υλοποίησης της κάθε δικλείδας ασφάλειας και βαθμός αυτοματοποίησής της εξαρτάται από το κάθε data center και τις απαιτήσεις ασφάλειας των πληροφοριών που φιλοξενεί. Ταυτόχρονα, οι παρακάτω απατήσεις χρειάζεται να ληφθούν σοβαρά υπ όψη από τους χρήστες υπηρεσιών.

Απαιτήσεις διαθεσιμότητας προσφερόμενων υπηρεσιώνΈνα από τα κύρια χαρακτηριστικά της λειτουργίας των data centers/παρόχων υπηρεσιών Cloud, είναι η αυξημένη διαθεσιμότητα η οποία αναμένεται να προσφέρουν.

Οι εν λόγο απαιτήσεις αφορούν στη διαθεσιμότητα των δεδομένων του κάθε οργανισμού (uptime, χρόνος επιτρεπόμενης διακοπής, χρόνος ανοχής, κλπ). Οι πάροχοι υπηρεσιών cloud είναι υποχρεωμένοι να διαθέτουν υποδομή και διαδικασίες που να εξασφαλίζουν τη συνέχεια λειτουργίας των προσφερόμενων υπηρεσιών, ακόμα και σε περιπτώσεις αυξημένης επικινδυνότητας.

Απαιτήσεις ελέγχου πρόσβασης – Κάθε Data Center οφείλει να διαθέτει διαδικασίες που αφορούν στα ακόλουθα:

  • Διαχείριση Φυσικής πρόσβασης
  • Διαχείριση Λογικής πρόσβασης σε επίπεδο συστημάτων και εφαρμογών
  • Διαχείριση Πιστοποίησης ταυτότητας & διαχείρισης πρόσβασης χρηστών
  • Διαχωρισμός αρμοδιοτήτων και διατήρησης ρόλων

Απαιτήσεις διαχείρισης  μηνυμάτων ασφάλειας – Απαιτήσεις καταγραφής μηνυμάτων ασφάλειας & συνεχείς παρακολούθηση (Logging and Monitoring). Προσδιορισμός των αναγκών καταγραφής μηνυμάτων ασφάλειας και συνεχούς παρακολούθησης. Οι απαιτήσεις αυτές θα πρέπει να είναι εναρμονισμένες  σε σχέση με τις απαιτήσεις προστασίας των δεδομένων που φιλοξενούνται στα πληροφοριακά συστήματα. Παράλληλα χρειάζεται να εξασφαλίζεται, συνεχής και όσο το δυνατό αυτοματοποιημένη παρακολούθηση των μηνυμάτων ασφάλειας, αλλά και δομημένη απόκριση σε περιπτώσεις περιστατικών ασφάλειας.

Προστασία της εμπιστευτικότητας των πληροφοριών – Προσδιορισμός απαιτήσεων εμπιστευτικότητας των πληροφοριών. Προσδιορισμός & υλοποίηση των απαραίτητων δικλείδων ασφάλειας που αφορούν στα δεδομένα τα οποία χαρακτηρίζονται ως εμπιστευτικά.

Τα παρακάτω θεωρούνται ως τα ελάχιστα μέτρα προστασίας:

  • Τεκμηρίωση διαδικασιών που προσδιορίζουν το τρόπο διαχείρισης των εμπιστευτικών δεδομένων
  • Υλοποίηση δικλείδων ασφάλειας που αφορούν στη διακίνηση των εμπιστευτικών δεδομένων (κρυπτογράφηση)
  • Δικλείδες ασφάλειας για τα αποθηκευμένα δεδομένα (κρυπτογράφηση, έλεγχος πρόσβασης).
  • Διαχείριση και έλεγχος των μέσων αποθήκευσης.
  • Έλεγχος & διαχείριση πρόσβασης δεδομένα
  • Συμβάσεις εμπιστευτικότητας

Διαχείριση αλλαγών παραμετροποίησης – Η παραμετροποίηση συστημάτων και εφαρμογών, χρειάζεται να λαμβάνει υπόψιν βασικούς κανόνες ασφάλειας και συντήρησης του επιπέδου ασφάλειας πληροφοριών.

Απαιτήσεις σε σχέση με το Προσωπικό – Το προσωπικό των data centers μπορεί ν’ αποτελέσει τη καλύτερη δικλείδα ασφάλειας, μπορεί όμως να αποδειχθεί και ο ποιό χαλαρός κρίκος της διεργασίας που αφορά στην ασφάλεια πληροφοριών. Αρκεί να κατανοήσουμε ότι οι εκάστοτε διαχειριστές, έχουν πρόσβαση στο σύνολο των δεδομένων ενός ή και περισσότερων οργανισμών.

Κανονιστική & Συμβατική συμμόρφωση – Η συγκεκριμένη ενότητα είναι αρκετά απαιτητική στις περιπτώσεις των data centers. Διαφορετικοί τύποι δεδομένων, από διαφορετικούς πελάτες και ίσως από διαφορετικές χώρες.

Η συγκεκριμένη ενότητα πρέπει να καλύψει τις περιπτώσεις συμμόρφωσης με κανονιστικό πλαίσιο, συμβατικές απαιτήσεις πελατών (εσωτερικών ή εξωτερικών), τη τήρηση των εσωτερικών κανόνων ασφάλειας, καθώς και απαιτήσεις από πιθανές πιστοποιήσεις που αφορούν στην ασφάλειας πληροφοριών ή περιέχουν μεγάλο ποσοστό απαιτήσεων ασφάλειας πληροφοριών.

Log off.

Το μοντέλο υπηρεσιών cloud μπορεί να αποδώσει αποτελεσματικά μόνο στη περίπτωση που ο Οργανισμός πελάτης των υπηρεσιών είναι σε θέση να διαχειριστεί τους κινδύνους που συνεπάγονται από τη χρήση των εν λόγο υπηρεσιών. Ταυτόχρονα χρειάζεται η ανάλογη προετοιμασία εσωτερικά του Οργανισμού προκειμένου να ενσωματώσει αποτελεσματικό το νέο μοντέλο χρήσης και διαχείρισης των πληροφοριακών του πόρων.

Το cloud δεν είναι από το οποίο θα ξεφύγουμε σύντομα, είναι η μετάλλαξη των μεγάλων data centers και η εξέλιξη των υπηρεσιών outsourcing.

Παραπομπές

  • Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, [ISACA Emerging Technology White Paper]
  • NIST Cloud Computing, Security Reference Architecture [Publication 500-299]
  • The NIST Definition of Cloud Computing [Publication 800-145]
  • Security Guidance for Critical Areas of Focus in Cloud Computing [Cloud Security Alliance]
  • Risk Landscape of Cloud Computing [ISACA, Vasant Raval, CISA, DBA]

Του Νότη Ηλιόπουλου

Msc Infosec, ISO 27001 LA, CISA, CISM

piliopou@me.com