Securitate, viaţa privată, încredere și… cloud

Securitate, viaţa privată, încredere și… cloud

400

Serviciile asociate cu conceptul de cloud există încă de la apariția Internetului, iar noile modele de afaceri bazate pe cloud evoluează constant transformând totodată modelele clasice de guvernanță IT. Această tendință este mai mult decât evidentă dacă ne uităm la statisticile ce conțin indicatorii de creștere a pieței de cloud și evoluțiile rapide și complexe ale produselor și serviciilor lansate pe piață de jucătorii relevanți în acest sector.

Chiar dacă pe anumite pieţe mature evoluţiile acestui domeniu par predictibile și ireversibile, anumite regiuni/ ţări sau sectoare de afaceri menţin un potenţial crescut de conflict, în special în raport cu perspectivele de adoptare și implementare pe termen scurt a unor soluţii bazate pe infrastructuri publice de cloud.

autor:
Eduard Bisceanu

Deoarece obiectivul meu nu este de a teoretiza fără sens despre conceptul de cloud, voi face o scurtă trecere în revistă a principalelor probleme despre care cred că trebuie înţelese și aduse la un numitor comun, atât prin efortul industriei de profil, dar și a principalilor potenţiali beneficiari, care deja nu mai pot ignora fără costuri evoluţiile în domeniul cloud computing:

– o mare parte a furnizorilor de produse și servicii în cloud se promovează prin intermediul impactului semnificativ la nivelul costurilor și profesionalismului propriilor angajaţi. În principiu, este mult mai eficient din perspectiva costurilor să utilizezi o infrastructură IT flexibilă (hardware și sofware) bazată pe nevoia reală de consum a unei organizaţii, adaptabilă ușor și imediat în raport cu dinamica acestor nevoi. De asemenea, este evident că o organizaţie de top, al cărui profil exclusiv de activitate este să elaboreze soluţii IT utilizate la nivel global, deţine capabilităţi tehnice mai bune decât marea majoritate a organizaţiilor al căror focus principal nu este domeniul IT (câte firme sau organizaţii pot spune că sunt mai buni ca Microsoft, Google sau Amazon?). Totuși, trebuie avut în vedere faptul că sunt sectoare de afaceri care, din motive extrem de pragmatice, nu-și pot transfera afacerea complet în cloud, iar anumite soluţii hibride nu oferă încă un nivel acceptabil de scalabilitate și nici nu sunt în mod evident eficiente din punct de vedere al costurilor. De asemenea, așa cum istoria ne-a dovedit de nenumărate ori, chiar și cei mai buni dintre noi pot greși. Având în vedere cele de mai sus, cred că majoritatea vânzătorilor de cloud (în orice configuraţie posibilă) trebuie să-și promoveze serviciile prin utilizarea unui personal care cunoaște în detaliu domeniile economice vizate, precum și contextul financiar și legislativ în care potenţialii clienţi există;

– de câţiva ani citesc și aud în cadrul unor conferinţe specializate, mai mult sau mai puţin publice, despre faptul că cerinţele de securitate sunt considerate ca fiind un factor care blochează evoluţia pieţei de cloud. Cred că acest tip de afirmaţie nu prezintă realitatea așa cum este de fapt și aș îndrăzni să afirm că de fapt, industria de cloud, în special liniile de marketing și integratorii de soluţii, nu este încă pe deplin adaptată unor anumite cerinţe de securitate sau anumitor condiţii specifice privind protecţia vieţii private online, fără a intra în prea multe detalii referitoare la obligaţii legale care au impact direct asupra gradului de libertate pe care anumite sectoare economice sau instituţii și-l pot asuma în alegerea unor tipuri de produse și servicii de pe piaţa de profil. Având în vedere diversitatea și evoluţia permanentă a pieţei actuale de cloud, am convingerea că nu securitatea și/sau protecţia vieţii private blochează uneori tranziţia către cloud a unor organizaţii, ci lipsa de înţelegere a pieţei și tehnologie, lipsa de competenţe complete pentru un astfel de proiect, o piaţă imatură care nu se adaptează nevoilor locale și nu generează un grad suficient de personalizare a soluţiilor oferite, mentalităţi conservatoare – toate acestea ar trebui să constituie obstacole ce trebuie depășite, atât de către actorii relevanţi din piaţă, dar și de către beneficiari, deopotrivă din spaţiul public și privat;

– în calitate de profesionist în domeniul securităţii, recomand furnizorilor din acest domeniu să-și concentreze eforturile pentru a putea oferi ceea ce caută orice organizaţie din perspectiva securităţii: ÎNCREDERE și nu pentru a rezolva punctual cerinţe de securitate sau privind protecţia vieţii private. De obicei, când comitetul de directori al unei organizaţii non – IT evaluează fezabilitatea unui potenţial contract, caută argumente solide referitoare la costuri și garanţii de încredere, ce vizează un obiectiv mai larg decât securitatea operaţiunilor ce urmează a fi externalizate în infrastructura unui terţ.

O contribuţie semnificativă la evaluarea gradului de încredere în produsele și serviciile unui furnizor de cloud o pot avea (cel puţin) răspunsuri clare la următoarele întrebări:

– unde, exact, vor fi stocate datele organizaţiei mele? – Prezentarea infrastructurii asociate unor servicii și produse de tip cloud ca fiind distribuită geografic la nivel global, ca strategie de marketing, ne oferă doar o imagine a dimensiunii impresionante a unei afaceri de acest tip….însă nu este în măsură să contribuie la asigurarea unui grad de încredere adecvat. În majoritatea prezentărilor care promovează industria cloud se afirmă că epoca data center-elor este la apus …în condiţiile în care orice afacere bazată pe cloud nu poate exista fără o infrastructură solidă de data center-e. Scalabilitatea acestei infrastructuri, localizarea data center-elor și condiţiile de securitate fizică în cadrul acestora sunt factori care pot contribui la încrederea unui potenţial client și uneori cerinţe legale obligatorii fără îndeplinirea cărora
o parte dintre potenţialii clienţi își vor asuma în continuare costurile și riscurile administrării unor data center-e proprii;

– Cât de măsurabile sunt disponibilitatea și redundanţa canalelor de comunicaţii utilizate de client pentru accesul la infrastructura și/sau serviciile de cloud? – planurile de continuitate a afacerii obligatorii în anumite sectoare economice trebuie să conţină răspunsuri și soluţii clare privind acest aspect, rar abordat în cadrul strategiilor de marketing ale industriei cloud;

– Care sunt garanţiile privind securitatea infrastructurii și aplicaţiilor în cloud ? De cele mai multe ori astfel de garanţii sunt oferite doar la nivel generic, sunt oferite date statistice privind nivelul scăzut de incidente de securitate și ne este prezentat profesionalismul specialiștilor în securitate ai furnizorului de cloud – și clientul are profesioniști! Externalizarea infrastructurii și a unor servicii în cloud transferă responsabilitatea administrării acestora de către un terţ – potenţialul client are nevoie de mult mai multe detalii și dovezi palpabile privind o abordare profesionistă și scalabilă a securităţii în cloud. Există chiar posibilitatea ca anumite autorităţi de reglementare și/sau control în domeniul nostru de activitate să solicite în detaliu date privind arhitectura de securitate a infrastructurii externalizate din motive de conformitate – foarte rar acest tip de suport pentru clienţi se regăsește în descrierea produselor și serviciilor de tip cloud;

– De ce credeţi că ţările mai mici sau mai puţin dezvoltate economic nu au nevoie de aceeași abordare privind utilizarea cloud-ului ca statele dezvoltate din vestul Europei sau SUA? Internetul permite accesul la prezentări realizate de aceleași companii pentru diferite zone din lume, iar diferenţele sunt evidente. De exemplu, se pot observa fără prea mare efort diferenţe de abordare a unor pieţe prin investiţii directe în infrastructura asociată pe teritoriul acelor state. Desigur că este de la sine înţeles că investiţiile companiilor specializate în acest domeniu ţin cont de oportunităţi și de dimensiunea unor pieţe …însă este foarte posibil ca anumiţi potenţiali clienţi din Estul Europei să aibă exact același nivel de cerinţe ca cei din Vestul Europei. A ignora total acestă realitate în strategia de afaceri contribuie semnificativ la afectarea nivelului de încredere;

– (Pentru furnizorii de securitate în cloud sau prin intermediul unor infrastructuri cloud) – Ce tipuri, exact, de date vor fi accesate în infrastructura locală a clientului și ce date vor fi injectate în această infrastructură? Chiar dacă sunt oarecum ușor de înţeles avantajele utilizării unei infrastructuri complexe de tip cloud pentru analiza datelor rezultate din diferite tipuri de incidente și atacuri cibernetice, nu vrem să ajungem să ne protejăm infrastructurile de… parteneri. Deci, dacă nu ne cunoaștem și nu avem încă construită o relaţie de afaceri bazată pe garanţii de încredere – aceasta trebuie construită înainte de a ne pro- pune o soluţie „automatizată” bazată pe cloud cu acces extins la infrastructura pe care noi suntem plătiţi să o protejăm;

– Care este înţelegerea comună corectă a conceptului de cloud hibrid? – deși este un subiect care merită o abordare conceptuală și tehnică extinsă și o potenţială soluţie pentru foarte multe din domeniile încă inaccesibile pieţei de cloud, din discuţiile pe care le-am avut cu diverși furnizori am constatat că există diferenţe semnificative privind înţelegerea și modelele de promovare și implementare a acestui tip de cloud. Deși sinceritatea este de multe ori sancţionată, aș vorbi în numele multor colegi de breaslă de-ai mei …efortul de a înţelege oferta unui potenţial furnizor trebuie să fie minim.

Eduard Bisceanu este un expert recunoscut la nivel național în domeniul securității cibernetice, cu competențe în domeniul managementului securității informatice, investigării atacurilor cibernetice complexe și fraudelor prin intermediul instrumentelor de plată electronice, precum și analiza, evaluarea și răspunsul la amenințări cibernetice. După o carieră de 16 ani în cadrul Serviciului Român de Informații și CERT-RO, fiind printre primii specialiști care au abordat domeniul amenințărilor cibernetice la nivel național, Eduard ocupă în prezent poziția de CSO în cadrul UniCredit Bank.