Toto je objekt systému MBI.

MBI (Management Byznys Informatiky) je portál obsahující zobecněná řešení v řízení provozu a rozvoje IT, resp. podnikové informatiky.

Pokud máte zájem získat více informací o tomto objektu (vazby na další objekty, přílohy, apod.), ale i získat mnoho dalších užitečných materiálů, můžete tak učinit ZDE / (registrace je bezplatná).

Úloha : Řízení rizik cloud computingu
Řízení rizik cloud computingu
Kód úlohy

Standardní kód úlohy v MBI.

:
U056A
Autor návrhu úlohy

Jméno a příjmení autora úlohy

:
Hanzlová, M. (iPodnik)
Předpokládaná pravděpodobnost užití v praxi

Předpokládaná pravděpodobnost užití úlohy v praxi, hodnoty 0 - 1. Např. 0,7 - úlohu lze využít v 7 z 10 podniků. Hodnoty jsou průběžně testovány a upřesňovány na základě anket a průzkumů.

:
0.5
Charakteristiky úlohy

Charakteristiky úlohy

1. “Řízení rizik cloud computingu“ – cíl, účel
  • Cílem úlohy je shrnout problémy a omezení cloudových služeb pro zákazníka, který služby čerpá.
  • Po stránce bezpečnostní bývá cloud computing někdy označován spíše jako problém, než přínos.
  • Cloudové služby nejsou vhodné pro každého zákazníka , a tak nemusí jejich využívání vždy přinášet výhody. Bez ohledu na to, zda byl tento typ služeb zvolen správně, mohou nastat i jisté problémy, které mají za následky omezení celkového provozu zákazníka.
  • Problémy se mohou týkat níže uvedených možností a mohou omezovat chod IT, resp. celé společnosti zákazníka:
    • údržby a obnovy HW a SW,
    • aktualizací, oprav a bezpečnostních záplat,
    • zálohování a licencování,
    • bezpečnosti – útoky zvenčí (DDoS útoky, malware, spam),
    • dostupnosti – výpadky elektrického proudu.
2. Obsah úlohy

2.1. Struktura rizik cloud computingu
  1. Přehnané požadavky na nestandardní řešení, které akorát zvyšují cenu služby, celou situaci komplikují, protože vyžadují migraci se současnými systémy, které běží jako on-premise.
  2. Výběr poskytovatele – Výběr nelze uskutečnit pouze na základě základních informací, resp. nejnižší cena, nejvyšší dostupnost. Důležitými faktory jsou i reference od okolí, zkušenosti, spolehlivost a důvěra v poskytovatele.
  3. Závislost na dodavateli (tzv. vendor lock-in), důvěra a spolehlivost – Zákazníci se obávají závislosti na poskytovateli, a také mají pocit, že tím ztrácejí kontrolu nad vlastními daty. Vše záleží na důvěře, spolehlivosti poskytovatele a hlavně také na SLA, resp. smlouvě mezi poskytovatelem a zákazníkem, kde by mělo být definováno v tomto případě, kdo je vlastníkem dat, kdo aplikace a řešení pro případ, že budou některou stranou služba vypovězena.
  4. Dostupnost dat a aplikace – Služby jsou dostupné kdykoliv (24/7/365), odkudkoliv, kde je dostupné připojení k internetu. Dostupnost je garantována procentuální hodnotou za určité období (rok, měsíc, týden). Tato hodnota znamená, kolik minut za dané období může být služba nedostupná. V jiném případě, pokud je uzavřena smlouva o úrovni služeb, se lze domáhat sankcí vyplývajících z přerušení dodávky služby.
  5. Zcela nevhodně vybraný druh služby (veřejný/soukromý cloud, PaaS/IaaS/SaaS, jiná aplikace) – Tento problém je z velké části nepravděpodobný, pokud zákazník má byť jen základní představu o svých potřebách.
  6. Integrace s legacy (tzv. zastaralými) nebo on-premise systémy , odezva systému a nižší latence,
  7. Migrace dat v nestandardizovaných formátech – Přenos dat do nového prostředí v nestandardních formátech může zkomplikovat a pozdržet celkový proces implementace. Jedná se spíše o omezení, protože v dnešní době potřebné úpravy nejsou nereálné, i přestože se mohou projevit ve formě třeba jednorázového implementačního poplatku.
  8. Customizace – Možnosti přizpůsobení prostředí a rozsah funkcionality aplikace jsou v případě cloudových služeb omezené.
  9. právní aspekty – Tím se rozumí veškerá omezení týkající se citlivých, osobních a účetních údajů, která vyplývají z legislativy a která se mohou lišit pro jednotlivé země, průmyslová odvětví, atd. Právní aspekty jsou dosud neřešenou otázkou. V této oblasti jsou obavy na místě. Uživatel se nemůže opřít o právní úpravu, která by se zabývala například odpovědností poskytovatele služeb za způsobené škody. Z toho důvodu je důležité obchodní vztah mezi poskytovatelem postavit na základě SLA.
  10. Bezpečnost Bezpečnost je označována za jeden z hlavních důvodů, které brání firmám v adopci cloudových služeb. Proto jí je věnována jedna úloha – Řízení bezpečnosti v cloudu. V případě bezpečnosti je vyžadována součinnost poskytovatelů a uživatele. Cloudovými službami je zajišťována v mnoha případech větší bezpečnostní úroveň, než by si zákazník mohl finančně dovolit. To ovšem neznamená, že se ho bezpečnostní pravidla týkající se tvorby a uchování hesel netýkají. V úloze Řízení bezpečnosti v cloudu se zabývám bezpečností dle figurujících stran – uživatel, poskytovatel cloudových služeb a poskytovatel služeb datového centra.
2.2. Analýza rizik
  • Součástí analýzy rizik služeb cloud computingu je identifikace rizik vyplývajících z využití služeb cloud computingu, které mají potenciál ohrozit organizaci prostřednictvím narušení provozních operací a fungování organizace nebo prostřednictvím hrozeb namířených na aktiva organizace.
  • Rizika z využití služby cloud computingu mohou být kategorizována na základě následujících hledisek :
    • organizační riziko cloud computingu,
    • provozní riziko cloud computingu,*
  • bezpečnostní riziko cloud computingu.
2.3. Operační rizika:
  1. Ztráta governance a kontroly v cloud computingu:
    1. Ztráta schopnosti operativního řízení dosahování cílů,
    2. Ztráta vlivu na definování a výkon rolí a odpovědností,
    3. Nejasné rozdělení zodpovědností mezi poskytovatele a spotřebitele,
    4. Ztráta schopnosti zajistit plnění bezpečnostních požadavků,
    5. Ztráta kontroly nad integritou, dostupností a důvěrností dat,
    6. Nejasné vlastnictví aktiv,
    7. Snížení transparentnosti provádění auditu,
    8. Snížení transparentnosti aplikačního a bezpečnostního reportingu,
    9. Ztráta schopnosti aktivně předcházet omezení výkonnosti provozu služby cloud computingu,
    10. Vznik závislosti spotřebitele služby na poskytovateli služby,
  2. Pověst organizace:
    1. Nevhodně vybraný poskytovatel služeb cloud computingu,
    2. Nevhodně vybraná služba cloud computingu,
    3. Nedostatečná izolace spotřebitelů služeb a smíšení dat,
    4. Úmyslný útok ze strany spotřebitele sdílejícího zdroje cloud computingu,
    5. Následky škodlivých praktik spotřebitele sdílejícího zdroje cloud computingu,
  3. Kontinuita podnikání:
    1. Neočekávané ukončení činnosti poskytovatele služeb cloud computingu,
    2. Neočekávané přerušení dodávky služby cloud computingu,
    3. Akvizice poskytovatele služeb cloud computingu,
    4. Chyby v dodávaných službách a výpadky služeb,
    5. Poškození nebo ztráta dat,
    6. Zcizení a zneužití důvěrných dat,
    7. Zcizení šifrovacích klíčů,
    8. Nedostatečná obnova provozu služby po havárii,
    9. Závislost na interních plánech poskytovatele pro havarijní obnovu a zabezpečení dat proti ztrátě nebo poškození,
    10. Nedostatečně definovaná nebo obtížně realizovatelná exit strategie,
    11. Dodatečné náklady na realizaci exit strategie,
  4. Soulad s legislativou, normami a standardy :
    1. Ztráta nezávislosti při plnění požadavků daných legislativou, normami a standardy a vznik závislosti na plnění těchto požadavků poskytovatelem,
    2. Ztráta schopnosti kompletně a transparentně doložit plnění požadavků daných legislativou, normami a standardy,
    3. Ztráta schopnosti obhájit získané certifikáty,
    4. Poskytovatel nebude schopen splnit legislativní požadavky,
    5. Aplikovatelnost různých legislativních požadavků lišících se dle místa vzniku dat a dle místa fyzického uložení dat.
2.4. Provozní rizika:
  1. Dohoda o úrovni služby:
    1. Netransparentní dohoda o úrovni služby cloud computingu,
    2. Nejasně a neúplně definovaná pravidla a podmínky dohody o úrovni služby cloud computingu,
    3. Nejasně a neúplně definované cíle úrovně služby cloud computingu,
    4. Nejasná definice odpovědností,
    5. Neschopnost poskytovatele plnit podmínky definované v dohodě o úrovni služby,
  2. Provozní výkonnost:
    1. Nedostupnost a výpadky služby cloud computingu,
    2. Nedostatečná výkonnost služby cloud computingu,
    3. Nespolehlivost služby cloud computingu,
    4. Špatná konfigurace služby cloud computingu,
    5. Nedostatečné zálohování,
    6. Nedostatečné havarijní plány,
    7. Útok na službu cloud computingu,
    8. Nedostatečné řízení výkonnosti služeb poskytovatelem,
    9. Nedodržení dohody o úrovni služby,
    10. Nedostatečná kapacita a přetížení sítě,
    11. Nedostatečné bezpečnostní mechanismy,
    12. Nedostatečné vyškolení zaměstnanců spotřebitele,
    13. Nepřenositelnost dat,
    14. Selhání hardwaru,
  3. Provozní náklady:
    1. Nepředvídané navýšení nákladů na provoz služby,
    2. Nedostupnost průběžných informací o rozsahu aktuálně využívaných zdrojů cloud computingu,
    3. Nevhodný způsob propojení služeb cloud computingu s lokálními systémy spotřebitele,
    4. Nedostatečné vyškolení zaměstnanců spotřebitele,
    5. Chybný odhad objemu zpracovávaných dat službou cloud computingu,
    6. Chybný odhad objemu dat přenášených mezi poskytovatelem a spotřebitelem služby,
    7. Navýšení nákladů z důvodu nemožnosti řídit plnění licenčních smluv.
2.5. Bezpečnostní rizika
  1. Bezpečnost dat:
    1. Neautorizovaný přístup k datům spotřebitele služeb cloud computingu,
    2. Neautorizovaný přístup k zálohovaným datům,
    3. Neautorizovaný přístup k archivovaným datům,
    4. Nedostatečné bezpečnostní mechanismy na straně poskytovatele služeb cloud computingu pro rozpoznání útoku z vnějšku a pro minimalizaci dopadů vnějších útoků,
    5. Obtížná realizace bezpečnostních kontrol dat,
    6. Neoprávněné uchovávání dat spotřebitele služeb poskytovatelem služeb cloud computingu,
    7. Smíšení dat různých spotřebitelů služeb cloud computingu,
    8. Nevhodně zvolená lokalita pro uložení dat poskytovatelem služeb cloud computingu.
2.6. Aktiva spotřebitele služeb cloud computingu

Pro určení dopadu rizik musí být identifikována aktiva spotřebitele služeb včetně jejich hodnoty pro organizaci na takové úrovni detailu, která je nutná z hlediska potřeb organizace pro hodnocení rizik. Hodnota aktiv pro organizaci vyplývá z jejich důležitosti jejich podpory realizace byznys procesů. Spolu s identifikací aktiv je vhodné definovat také vlastníka aktiva , který je za dané aktivum zodpovědný. Kategorie aktiv zákazníka:

  1. Strategická aktiva:
    1. Pověst společnosti,
    2. Značka,
    3. Důvěra partnerů,
    4. Důvěra zákazníků,
    5. Data (důvěrná data, citlivá data),
  2. Lidé:
    1. Loajalita zaměstnanců,
    2. Zkušenosti zaměstnanců,
  3. Organizační aktiva:
    1. Operativní data,
    2. Zálohovaná data,
    3. Archivovaná data,
    4. Bezpečnostní logy
3. “Řízení rizik cloud computingu“ - klíčové aktivity.

3.1. Definování potřeb
  • Těch, které musí být službou naplněné , které korespondují s business cíli zákazníka a které tak povedou k úsporám a zvýšení klíčových hodnot.
3.2. Analýza rizik
  • Zahrnuje identifikaci a vyhodnocení rizik , které souvisí se současným IT a které vznikají, resp. vyřeší v případě, že bude odsouhlasen přechod na cloudové služby.
3.3. Specifikace požadavků na zajištění dostatečné bezpečnostní úrovně systému
  • Je závislé nejen na poskytovateli, ale také uživateli. Stanovení bezpečnostních politik týkajících se hesel, případné zvolení sofistikovanějších možností (např. SSL certifikáty, biometrické metody).