Jó gyakorlatok a vállalati adatok felhőben történő biztonságos kezeléséhez

 

Manapság a vállalatok egyre nagyobb mértékben támaszkodnak a felhőszolgáltatásokra. Sok esetben már az olyan, üzletmenet-folytonosság szempontjából kritikus folyamatok is távoli rendszereken zajlanak, mint például az ügyfélkapcsolati (Customer Relationship Management – CRM) rendszerek, illetve a humán erőforrás-kezelés (HR).

Bár általánosságban elmondható, hogy a felhőszolgáltatók érdekeltek abban, hogy adataink védve legyenek, sajnos azonban a vállalatok részéről jellemző „Töltsd fel és felejtsd el!” hozzáállás lényeges veszélyt hordoz magában.

A felhőszolgáltatók csak akkor képesek megvédeni ügyfeleik rendszereit, ha a vállalatok tekintettel vannak a biztonsági megfontolásokra, és figyelembe veszik legalább az alábbi jó gyakorlatokat.

Legyünk tekintettel a biztonsági szempontokra a felhőszolgáltató kiválasztásakor!

Mielőtt egy népszerű, sokak által is használt felhőszolgáltatóra bíznánk adatainkat, érdemes megvizsgálni, hogy az egyes szolgáltatók milyen biztonsági gyakorlatokat végeznek, a felhasználói szerződések milyen sajátosságokkal rendelkeznek, hol és hogyan tárolják az adatokat, milyen védelmi intézkedéseket hajtanak végre a jogosulatlan felhasználók kizárása érdekében, nyújtanak-e garanciát, vagy technikai támogatást adatvédelmi incidens esetén stb.  Amennyiben ezekre a kérdésekre nem kapunk egyértelmű és számunkra is elfogadható, megnyugtató választ, érdemes más szolgáltatót keresni.

Hozzunk létre hozzáférés-kezelési stratégiát!

Az egyik legnagyobb adatvédelmi problémát a vállalatok által alkalmazott hitelesítési és hozzáférés-kezelő rendszerek jelentik, amik a hitelesítő adatok nem biztonságos kezeléséhez és a hozzáférési engedélyek elcsúszásához vezethetnek. Az ebből eredő problémák megszüntetése érdekében javasolt egységesíteni a bejelentkezéseket, például egyszeri bejelentkezési módszerrel (Single Sign-On – SSO), valamint kifejezetten javasolt bevezetni a többtényezős hitelesítést minden felhasználói fióknál, emellett érdemes rendszeres gyakorisággal felülvizsgálni a hozzáférési jogosultságokat.

Képezzük a felhasználókat, és használjunk védelmi szoftvereket!

Megfelelő oktatás és képzés nélkül a vállalatok csupán „egy felhasználói kattintásnyira”, vagy egy véletlenül megnyitott „spam e-mailnyire ”vannak egy adatszivárgási incidenstől. Éppen ezért nélkülözhetetlen a munkatársak felkészítése, mielőtt hozzáférést kapnának a kritikus rendszerekhez és a bizalmas vállalati adatokhoz. Mindezek mellett, javasolt igénybe venni a kimondottan felhőszolgáltatásokhoz tervezett védelmi megoldásokat is, hogy kivédhessük a véletlenül bekövetkező felhasználói hibákat.

Minimalizáljuk a feltöltött adatok mennyiségét!

Alakítsuk át az üzleti folyamatokat úgy, hogy kizárólag a működéshez elengedhetetlen adatok kerüljenek feltöltésre a felhőszolgáltatásba. Javasolt minimalizálni a feltöltött adatok mennyiségét. Például egy adott üzleti folyamat felhőben történő kezelése megkövetelheti egyes személyazonosításra alkalmas adatok (Personally Identifiable Information – PII) felhőben való tárolását, ám ez nem jelenti azt, hogy szükségszerűen minden ügyféladatot ott kell tárolnunk.

Forrás: thehackernews.com