fbpx

Dane pracowników w chmurze – czy to bezpieczne?

Świat oszalał na punkcie chmury obliczeniowej. Dziś każda, szanująca się firma świadcząca usługi elektroniczne przenosi je i udostępnia za pośrednictwem internetu. Cloud computing, to obok automatyzacji, sztucznej inteligencji, rozwiązań mobilnych jeden z najsilniejszych trendów informatycznych dzisiejszych czasów.

Nie ulega wątpliwości, że aplikacje i usługi udostępnione w chmurze w stosunku do tych samych rozwiązań, ale opartych na lokalnej infrastrukturze mają wiele istotnych przewag.

Przede wszystkim rozwiązania te nie wymagają inwestycji we własną infrastrukturę informatyczną – nie wymagają utrzymywania serwerów, ani posiłkowania się usługami specjalistów w dziedzinie administracji sieci, baz danych czy aplikacji.

Własna infrastruktura informatyczna, oprócz kosztów jej utrzymywania wiąże się także z wieloma wyzwaniami logistycznymi. Sprzęt trzeba amortyzować, co jakiś czas wymieniać, zabezpieczać, konserwować, badać jego wydajność, testować.

Kolejną zaletą chmury jest łatwość dostępu do oferowanych przez nią usług: z dowolnego urządzenia, z dowolnej lokalizacji, bez przerw i okien serwisowych.

Chmura ma zatem wiele zalet. Podstawowe pytanie brzmi jednak: czy jest bezpieczna?

Pytanie to nabiera szczególnego znaczenia w przypadku rozwiązań HR działających w chmurze. Rozwiązania te udostępniając usługi w chmurze, również swoje dane, czyli w szczególności dane osobowe pracowników organizacji, przechowują w chmurze obliczeniowej.

Na bezpieczeństwo danych osobowych należy patrzeć przez pryzmat trzech podstawowych zagrożeń: wyciek lub nieupoważniony dostęp, utrata i brak dostępu. Rozwiązanie jest tym bezpieczniejsze im prawdopodobieństwo wycieku lub nieupoważnionego dostępu, utraty lub braku możliwości dostępu jest mniejsze.

Wycieki lub nieupoważniony dostęp są spowodowane lukami w procesach i procedurach dostępu do danych (logowanie, autoryzacja, przesyłanie) lub procesach i procedurach przechowywania danych (pomieszczenia, serwery, bazy danych, pliki).

Utrata danych ma miejsce wtedy, kiedy dochodzi do awarii, w wyniku której dane zostaną uszkodzone lub zniszczone, a możliwości odtworzenia danych są ograniczone lub nie istnieją.

Brak dostępu może mieć miejsce w sytuacji awarii związanej z dowolnym elementem rozwiązania informatycznego (sieć, aplikacja, infrastruktura), której nie da się usunąć w odpowiednio krótkim czasie.

Jak widać z powyższego istnieje wiele potencjalnych zagrożeń bezpieczeństwa danych w chmurze. Ryzyka związane z bezpieczeństwem można jednak minimalizować. Podstawowa zasada w tym zakresie brzmi następująco – należy używać jednocześnie wszystkich znanych i dostępnych metod, narzędzi i procedur bezpieczeństwa zarówno w obszarze technologicznym jak i organizacyjnym.

Ponieważ zwykle rozwiązania dostępne w chmurze są oferowane przez zewnętrznych dostawców należy wybierać tylko takich dostawców, którzy są w stanie zapewnić jednocześnie wszystkie stosowane metody, narzędzia i procedury.

Przygotowaliśmy dla Ciebie checklistę metod, narzędzi i procedur, które powinny być stosowane / spełnione, aby uznać, że dane rozwiązanie udostępniane w chmurze obliczeniowej minimalizuje ryzyka związane z bezpieczeństwem, czyli zagrożenia wycieku lub nieupoważnionego dostępu, utraty i brak dostępu do danych. Oto nasza checklista:

  1. Komunikacja powinna odbywać się z wykorzystaniem protokołu SSL
  2. Dostęp do systemu powinien opierać się na bezpiecznym haśle opartym na restrykcyjnej polityce (długie hasła, spełniające określone wymogi, częste zmiany haseł, zabronione powtarzanie haseł przy zmianie)
  3. Dostęp do systemu powinien być dodatkowo zabezpieczony hasłem jednorazowym na potrzeby każdej sesji przesyłanym niezależnym kanałem w oparciu o SMS, mobile PUSH lub email
  4. Dostęp do systemu powinien być automatycznie blokowany po kilku nieudanych próbach logowania / autoryzacji
  5. Użytkownicy systemu / administratorzy powinni być automatycznie informowani z pośrednictwem email lub SMS o nieudanych próbach logowania / autoryzacji
  6. Rozwiązanie powinno być chronione systemami Anty DDOS
  7. Dane powinny być przechowywane w zaszyfrowanej postaci
  8. Stosowane centrum przetwarzania danych powinno spełniać standardy bezpieczeństwa
  9. Powinny być stosowane backupy danych ze zweryfikowaną metodologią odtwarzania
  10. Połączenia sieciowe powinny być redundantne
  11. Z dostawcą usług (podmiot przetwarzający) powinna być podpisana umowa spełniająca wymogi RODO
  12. Dostawca usług powinien przedstawić umowy z wszystkimi podmiotami przetwarzającymi biorącymi udział w przetwarzaniu danych
  13. Dostawca usług powinien poddawać się systematycznym przeglądom i audytom bezpieczeństwa
  14. Dostawca usług powinien gwarantować poziom dostępności usług, na poziomie minimum 99,5%, co oznacza niedostępność usług systemu przez maksymalnie 40 godzin w roku

[rb]

2018-05-10T21:45:52+00:00