Американский исследовательский институт Ponemon Institute провел анализ причин, по которым в организациях различных отраслей происходили инциденты нарушений общих правил безопасности, несущих риск утечки конфиденциальной информации. Вот десять наиболее часто встречающихся инцидентов:
- Подключение к информационной системе через незащищенные сети.
- Сохранение информации на своем компьютере без необходимости работы с ними.
- Обмен паролями с другими пользователями.
- Использование одинаковых паролей в разных системах.
- Использование внешних носителей без шифрования информации.
- Оставление компьютера без присмотра.
- Утеря внешнего носителя, содержащего конфиденциальную информацию.
- Работа на ноутбуке в общественных местах или в дороге.
- Хранение конфиденциальных данных на ноутбуке во время путешествий.
- Подключение к информационным системам с личных мобильных устройств.
Это стандартные риски, которые относятся к безопасности информационных систем, без коррекции на облачность. Но для подразделений ИТ, имеющих непосредственное отношение к созданию и поддержке частного облака, влияние человеческого фактора начинается еще на этапе обсуждения и проектирования перехода в облачную среду. В работу оказываются вовлечены руководители подразделений, бизнес-процессы которых затрагивает изменение технологии обслуживания средствами ИТ.
Человеческий фактор
Безопасность облачной среды требует комплексного подхода с использованием разнообразных технологических средств обеспечения безопасности, мониторинга, а также средств идентификации и управления. При этом комплексный аудит всех систем на предмет безопасности и/или соответствия определенным стандартам является чрезвычайно сложной организационной задачей. Одним из аспектов риска безопасности систем, помещаемых в облако, является автоматизация управления такой инфраструктурой, которая приводит к опасениям персонала потерять место работы в рамках улучшенной архитектуры, что может повлечь саботаж либо деструктивные действия по отношению к создаваемой инфраструктуре. Данные опасения необходимо пресекать, направив потенциал персонала в творческое русло.
Эффективность эксплуатации и большая гибкость облачной инфраструктуры позволяет сосредоточиться на новых сервисах для обслуживания бизнес-задач. Использование облачных компонентов позволяет делать бизнес-сервисы более динамичными и изменяемыми под конкретные потребности клиентов; сокращать время создания инфраструктуры под такие сервисы; существенно экономить время на тестирование новых продуктов и услуг, выводимых на рынок. Таким образом, персонал может быть вовлечен в формирование новых конкурентных преимуществ собственного бизнеса. Это существенно снижает озвученные риски и делает ИТ-службу союзником службы безопасности, полноценным участником целостности информационной среды предприятия не только в технологической, но и процедурно-регламентной ее части.