Bezpečnost jako služba

Publikováno: 15. 4. 2014

Whitepaper z ISACA Cloud řady: “Security as a service”.

Východiska

Podniky potřebují chránit svůj majetek, ale musí být také ziskové, aby se udržely na trhu. Ochrana majetku, který je v informacích, se stala prioritou pro podniky, které buď musí splňovat požadavky na dodržování předpisů, nebo musí chránit citlivá data či obojí. Úkolem těchto podniků je zavést robustní bezpečnostní postupy za rozumné investiční a provozní náklady. SecaaS nabízí podnikům způsob, jak realizovat bezpečnostní služby, které jsou robustní, škálovatelné a nákladově efektivní. Výhody jsou ovšem spojeny s rizikem, a podniky by měly při posuzování SecaaS produktů a poskytovatelů zvážit přínos a rizika. Především je zapotřebí, aby podniky pochopili, že mohou outsourcovat odpovědnost za dílčí úkoly, ale nemohou outsourcovat celkovou odpovědnost; podniky by tudíž měly realizovat plán zajištění bezpečnosti, který zahrnuje hodnocení služeb, získaných od poskytovatelů SecaaS. Pokud nelze audit provést, musí podniky i tak získat důkaz, že prostředky používané k ochraně podnikových informačních aktiv efektivně fungují.

Článek je rozdělen do 8 částí:

  1. Úvod
  2. Dopad SecaaS na podnik
  3. Přínosy SecaaS pro byznys
  4. Důležité informace k SecaaS bezpečnosti a rizikům
  5. Strategie řešení SecaaS rizik
  6. Governance
  7. Důležité informace pro zajištění bezpečnosti prostřednictvím SecaaS
  8. Závěr

K jednotlivým kapitolám

Úvod

Informace jsou měnou 21. století. Podniky všech velikostí a forem, ze všech odvětví, chápou, že ochrana majetku, kterým jsou pro ně informace, je pro jejich úspěšnost zásadní. Narušení bezpečnosti znamená více než jen náklady na opravu HW nebo SW. Může vést ke ztrátě duševního vlastnictví, které je z hlediska konkurenční výhody firmy zásadní, což může vyvolat ztráty v obchodní činnosti, poškození dobré pověsti, nebo značné náklady, spojené se soudními spory s třetími stranami, jež byly tímto narušením také poškozeny. Podniky chápou, že informační bezpečnost je nutnost a nikoli záležitost volby. Všechny, malí živnostníci stejně jako velké korporace, musí chránit svoje informace i informace o svých zákaznících.

Cenné je to, že tyto i následující výroky o potřebnosti a nutnosti informační bezpečnosti jsou doloženy tvrdými daty z výzkumu, který prováděla britská vládní organizace Department for Business, Innovation and Skills. Výzkum ukazuje, že během dvanáctiměsíčního období došlo k narušení bezpečnosti u 93% velkých podniků a u 83% malých podniků a živnostníků. Průměrné náklady na odstranění škod, způsobených nejhorší bezpečnostní událostí se pohybovaly v přepočtu mezi 1,12 až 2,1 mil. Kč za rok.

Mnoho podniků, které potřebují implementovat robustní bezpečnostní procedury při zachování nízkých nákladů, outsourcovaly konkrétní aplikace a plnění úkolů od poskytovatelů řízených bezpečnostních služeb (Managed Security Service Providers – MSSP), kteří slibují zvládnutí složitých, nákladných a časově náročných úkolů bezpečnosti tradičními outsourcingovými postupy.

Vedle toho model SecaaS obsahuje i všechny charakteristiky cloud computingu („pohodlný přístup na vyžádání ke sdílenému fondu zdrojů, které lze rychle poskytovat a uvolňovat s minimálním manažerským nasazením nebo interakcí s poskytovatelem služby“. SecaaS tak lze dodávat i s využitím cloud modelů SaaS (Software as a Service), PaaS (Platform as a Service) nebo IaaS (Infrastructure as a Service) podle požadované úrovně zabezpečení.

Gartner předpovídá, že na cloudu založené bezpečnostní služby budou do roku 2015 mít 10% podíl na trhu bezpečnosti podnikových IT a podle Infonetics Research dosáhnou tržby do roku 2017 v přepočtu 184 mld. Kč při ročním tempu růstu 10,8%.

Jsou zde uvedeny i služby, nabízené poskytovateli SecaaS.

Dopad SecaaS na podnik

Stejně jako ostatní cloudové služby slibuje SecaaS hodně – bezpečnostní služby přístupné pro každého, nízké investiční náklady, neomezený rozsah a pružnost, nízkonákladovou nabídku pro malé podniky atd.

Potřeba lepšího zabezpečení informací ve většině odvětví a zeměpisných oblastí rychle roste

Rychlé pronikání mobilních zařízení a cloudových technologií do podniků všech velikostí znamená, že bezpečnost je pro ně pro všechny naprosto nezbytná. Informační bezpečnost, zajišťovaná vlastními silami, je pro podniky na jedné straně složitá, drahá a na druhé straně zdrojově omezená.

I poskytovatelé SecaaS čelí problémům. Tento nový způsob řízení a poskytování bezpečnostních služeb nabízí obrovské příležitosti – nové prodejní a distribuční kanály, přístup na rostoucí globální trhy a nové zástupy dychtivých potenciálních klientů. Tržby za SecaaS (platby pouze za služby a zdroje, které klienti využívají) mohou potenciálně vytlačit tržby za tradiční služby, které obvykle vycházejí z licenčních poplatků, nákladů na implementaci a smluv o údržbě. Nevyhnutelná komoditizace služeb také vyvolává tlak na marže. Poskytovatelé SecaaS se tedy musí vzájemně odlišovat kvalitou, spolehlivostí a co je nejdůležitější, důvěryhodností. Jedním z odlišujících prvků je nabízená úroveň transparentnosti v otázce služeb, včetně vlastních interních bezpečnostních postupů.

Podniku ovšem zůstává odpovědnost za všechny jeho citlivé informace ať již se SecaaS nebo bez nich. To je dáno zákonem.

Přínosy SecaaS pro byznys

Přechod na SecaaS se řídí několika faktory, včetně nedostatku vlastních, kvalifikovaných odborníků v bezpečnosti IT, potřebou snížit náklady a dodržet předpisy, jejichž dodržení je zpravidla nutno zajistit velmi rychle. Dále článek podrobněji rozvádí ekonomické a provozní přínosy SecaaS, kterými jsou:

  • náklady,
  • jednoduchost manažerských a provozních činností,
  • zaměření na klíčové schopnosti,
  • škálovatelnost,
  • rychlost poskytnutí,
  • nejlepší, momentálně dosažitelná bezpečnost,
  • odbornost,
  • průběžná aktualizace,
  • nákladově efektivní dodržení zákonů a předpisů.

Důležité informace k SecaaS bezpečnosti a rizikům

Při využívání bezpečnostního řešení na bázi SecaaS je třeba vzít v úvahu několik faktorů. Poskytovatel SecaaS nabídne pravděpodobně nějaké služby, ale nebude nezbytně muset nabízet všechny, které by podnik potřeboval při zachování jeho vlastní celkové odpovědnosti za bezpečnost. Při plánování uceleného bezpečnostního řešení si tedy podnik musí nezbytně uvědomit rozdíl mezi tím, co očekává, a tím, co mu bude poskytovatel průběžně dodávat. V souvislosti s tím zmiňuje autor sadu dokumentů, kterou vydala the Cloud Security Alliance, a která kategorizuje SecaaS do 10 konkrétních, dále vyjmenovaných služeb. S nimi souvisí pomocný soubor otázek, které je třeba zodpovědět před rozhodnutím o využití SecaaS. Hledání odpovědi na tyto otázky přiměje podnik zvážit následující:

  • servisní model. SecaaS se obvykle používá v rámci servisního modelu SaaS, PaaS nebo IaaS v závislosti na tom, která vrstva má být chráněna.
  • důvěrná data. Podnik zodpovídá za ochranu kritických informací v souladu s interními zásadami a předpisy.
  • ochrana dat. Poskytovatelé SecaaS jsou obvykle v rámci své hlavní činnosti dostatečně zdatní v ochraně kritických a soukromých dat. To však neznamená, že by podnik neměl podrobit sadu řešení zkoumání, aby zajistil dodržení podnikových standardů na ochranu dat.
  • smlouva. Podnik by měl podrobit smlouvu s poskytovatelem SecaaS přísné kontrole, aby bylo jasné kdo je zodpovědný za konkrétní bezpečnostní kontroly, které podnik vyžaduje.
  • mezery. Při dokončování smlouvy a prověrky služby se obvykle přijde na to, že v některých případech poskytovatel SecaaS nezaručuje dodržení zákonů a předpisů a podnik ho zajistit nemůže, protože nevidí do podpůrných služeb systému. Tyto situace vyžadují smluvní ujednání, které obsahuje nějakou formu ujištění, že se podniku dostane náležité péče.

Strategie řešení SecaaS rizik

Nasazení SecaaS má svá rizika v provádění a řízení bezpečnostních služeb ve firemním datovém centru. Mnohé podniky nemusí mít odborné znalosti nebo zdroje a personál, které jsou pro řízení a řádný běh bezpečnostních služeb zapotřebí. V takových případech může být SecaaS onou hybnou silou, která vyvolá dotažení bezpečnostních řešení v podniku. Riziko neúplné sady bezpečnostních služeb převáží riziko provozu SecaaS.

Obecně uznávanými strategiemi řízení rizik jsou:

  • přijetí – akceptace. Protože náklady na zamezení nebo přenos rizika jsou příliš vysoké, nebo nestojí za investici, podnik riziko přijme.
  • zmírnění. Zavedení fyzických, administrativních a/nebo technických opatření nebo systémů, které mohou omezit rozsah a / nebo potenciál problémů, které může riziko
  • vyvolat. Riziko by se mělo zmírňovat na úrovni pro podnik přijatelné.
  • zamezení. Provedou se změny, které zabrání vzniku nebezpečí. Příslušné postupy zamezení by se měly řídit definovanou ochotou podniku riskovat.
  • přenesení. Přenesení rizika na jinou stranu (tj. pojištění). Jde o strategii vyhnutí se riziku.

Řízení rizik je úkolem vedení. Ochota podniku riskovat pak určuje jeho postoj a schopnosti rizika řídit a jeho sklon rizika akceptovat nebo se jim vyhýbat.

Governance

COBIT 5 od ISACA představuje ucelený rámec, který pomáhá podnikům plnit jejich cíle při řízení a správě podnikového IT.

Podniky existují proto, aby vytvářely hodnotu svým akcionářům, resp. vlastníkům. Z toho plyne, že každý podnik – ať je či není komerční – bude mít ve svých cílech vytváření hodnoty. Vytváření hodnot znamená realizaci přínosů při optimálních nákladech na zdroje a optimalizaci rizik.

Na tomto principu je postaven mechanismus kaskády cílů podle COBIT 5, převádějící potřeby zúčastněných stran na konkrétní, splnitelné a přizpůsobené podnikové cíle, cíle související s IT a podmínky pro dosažení těchto cílů.

Úvahy vedení stran SecaaS by se měly zaměřit na rozhodnutí, týkající se vytváření přínosů a hodnocení rizik a zdrojů tím, že odpoví na následující tři otázky:

  • pro koho ty přínosy jsou?
  • kdo nese riziko?
  • jaké zdroje jsou potřeba?
Předpoklady realizace přínosů

Podnik má definovaný proces hodnocení a monitorování realizace přínosů.

Pro získání financí a souhlasu se ve většině podniků vyžaduje business case (věcné zdůvodnění) nebo ekvivalentní proces.

Pro SecaaS řešení má podnik určeného vlastníka.

Předem stanovená odpovědnost je pro úspěšnost každého projektu nebo procesu zásadní. Odpovědnost za SecaaS řešení lze přiřadit vlastníkovi byznys nebo IT procesu podle kontextu byznys požadavků.

Předpoklady optimalizace rizik

V podniku existuje shoda a společné chápání rizik cloud computingu na základě podnikového rámce řízení rizik (enterprise risk management – ERM Framework).

Hodnota a riziko jsou dvě strany téže mince. Podobně se to má s důležitostí chápání hodnoty cloud computingu, je stejně důležité vyjádřit, pochopit a dohodnout se ohledně rizik a bezpečnostních aspektů cloud computingu.

Jestliže podnikový rámec řízení rizik neexistuje, měla by se rizika cloud computingu zvažovat na výkonné úrovni.

Podnik má definované procesy a kontroly, podporující rychlou reakci na měnící se rizika a okamžité reportování na příslušnou úroveň řízení.

Jakmile padne rozhodnutí implementovat cloudové řešení, včetně SecaaS, měly by týmy z byznysu i IT identifikovat procesy a kontroly pro řízení rizik tohoto řešení a souvisejících IT rizik na přijatelné úrovni.

Podnik pravidelně usiluje o zajištění efektivity řešení a udržení jeho transparentnosti pro zúčastněné strany.

Podnik musí určovat cíle zabezpečování strategie cloud computingu a hodnotit je, v kontextu interního i externího prostředí, relevantních rizik a souvisejících příležitostí. Každý podnik, beroucí v úvahu rizika, kterým je vystaven, a složitost SecaaS řešení by měl zvážit kombinaci sebehodnocení s interním a externím auditem / hodnocením.

Předpoklady optimalizace zdrojů

Podnik má identifikované a dokumentované požadované zdroje.

Byznys požadavky, identifikované v předchozích etapách governance by se nyní měly převést na funkční a technické požadavky. Týmy informační bezpečnosti a IT mohou těžit z dostupných výzkumných dokumentů organizací jako je CSA (Cloud Security Alliance) a řídit se jimi před zahájením, v průběhu i po skončení implementace SecaaS. Dokumenty od CSA se zaměřují na kategorizaci různých typů produktů SecaaS a na poskytnutí rad ohledně rozumných implementačních postupů.

Jsou definovány a rozděleny role a odpovědnosti za pořízení, nasazení a provozování řešení.

Podnik by měl zvažovat role a odpovědnosti nejen vnitřní, ale i externích stran. Jako externí strany mohou figurovat poskytovatel SecaaS, systémoví integrátoři, třetí smluvní strany a externí auditoři. Při definování rolí a odpovědností je zapotřebí vzít v úvahu celý životní cyklus každého SecaaS řešení, tj. od definice požadavků, přes pořízení řešení, jeho nasazení, provozování a zlepšování až do vyřazení, resp. nahrazení.

Podnik má definovaná měřítka pro posuzování výkonnosti a na podporu informovaného rozhodování.

Měření výkonnosti podnikových procesů by se mělo zabývat hodnocením jak kvantitativních tak kvalitativních měřítek a metrik, kontroly a monitorování hospodaření se zdroji.

Když podniky předpoklady nesplňují

Většina podniků nebude patrně splňovat všechny předpoklady, pokud v některých implementovaly SecaaS řešení ad hoc způsobem, zůstaly některé předpoklady nenaplněné. Když jsou koncepty governance a managementu nejednoznačné nebo nejasné může být problém tyto předpoklady na exekutivní nebo funkční IT úrovni naplnit. Týmy pro informační bezpečnost by měly tyto předpoklady formulovat, a, pokud je to možné, dokumentovat.

Důležité informace pro zajištění bezpečnosti prostřednictvím SecaaS

V oblasti ochrany důvěrnosti, integrity, dostupnosti a autenticity (Confidentiality, Integrity, Availability and Autenticity – CIAA) informací provádějí podniky řadu kontrol (technických, administrativních, fyzických atd.). Jestliže jsou kontroly zavedené, potřebuje se podnik ujišťovat, že fungují tak, jak mají. Nicméně v cloudu může být dosažení jistoty obtížnější, než u interních systémů kvůli přece jen nižší průhlednosti infrastruktury a postupů poskytovatele. Zajištění SecaaS se dosáhne nejlépe ustavením partnerství s poskytovatelem za účelem implementace a mechanismů monitorování a poskytování informací – reportingu (interně i s třetími stranami) které umožní podniku pravidelně hodnotit adekvátnost a efektivitu kontrol v porovnání s měnícími se hrozbami.

Otázky CIAA jsou v této části dále srozumitelně komentovány.

„Důvěřuj, ale prověřuj.“ Protože zodpovědnost za bezpečnost a dodržování zákonů a norem nelze při smluvním dojednávání s poskytovateli přenést na někoho jiného, měly by podniky zavést interní kontroly zaměřené na řízení očekávání a ujištění vlastního vedení, že může poskytovatelům SecaaS důvěřovat. Kontroly, které lze pro to využít jsou uvedeny dále.

Monitorovací kontroly

Pro sledování a hodnocení výkonnosti a konformity poskytovatelů by měly podniky využívat SLA. Výkonnost a dodržování dohodnutých parametrů musí průběžně a důsledně kontrolovat vlastníci podnikových procesů, vedení IT, vedení nákupu a útvar řízení rizik, aby se zjistily všechny nedostatky, které je třeba řešit, aby se zajistilo očekávané splnění požadavků.

Kontrola reportingem

Podnik musí požadovat na poskytovatelích důkaz, že zabezpečovaná prostředí, vyhovuje příslušným politikám, byznys potřebám a regulatorním a zákonným požadavkům proto, aby vykompenzoval to, že nemůže provádět audit prostředí poskytovatelů. Tento důkaz má obvykle formu nezávislých revizí bezpečnosti nebo certifikačních zpráv, vydaných třetími stranami, potvrzujících, že prostředí odpovídá bezpečnostním požadavkům podle konkrétních norem.

Kompenzační kontroly

Podnik musí zavést kontroly řešení případných nedostatků, které byly zjištěny v průběhu výběru poskytovatele SecaaS a při smluvních jednáních. Kompenzační kontroly by se měly zavést také proto, aby ošetřily nové riziko, změny IT prostředí vyvolané vložením SecaaS. Tyto kompenzační kontroly se mohou zahrnovat governance kontroly (např. nové politiky a postupy, školení uživatelů, časté posuzování rizik a školení v oblasti řízení SLA), fyzické kontroly (např. segmentace sítě a provozní filtry) a logické kontroly (např. omezení prominentních účtů, šifrování a sdružená správa identit).

Závěr

Nikdy předtím tam byl takový rychlý rozvoj jak v hloubce a šíři poptávky po bezpečnostních službách. Tradiční metody poskytování informací v oblasti bezpečnosti – malé týmy odborníků působících v rámci IT funkcí – se snaží držet krok s rychlým tempem a neustále se vyvíjejících hrozeb pro podniková informační aktiva. SecaaS slibuje dodat rozsah a škálu sofistikovaných nástrojů potřebných k ochraně podnikových informací, a současně výrazně snižuje náklady a zdroje související s informační bezpečností. S výhodami využití SecaaS přichází i riziko toho, že podniky musí být ochotné se řešením SecaaS zabývat. Využití třetích stran k zajištění kritických služeb vyžaduje, aby se podnik vzdal některých oblastí řízení, avšak za zabezpečení informační bezpečnosti je vždy odpovědný podnik bez ohledu na to, kde jsou informace uloženy, nebo která strana je má pod kontrolou.

S pomocí komplexního rámce pro řízení a správu podnikového IT COBIT 5 dokáží podniky určit funkce, kterými realizují přínosy SecaaS a být nositelem rizik a zdrojů, potřebných k implementaci SecaaS řešení. Rámec nabízí model jak otestovat prvky řízení, která chrání informační aktiv podniku.

Security as a Service: Business Benefits With Security, Governance and Assurance Perspective (457.93 Kb)

Štítky: ,
Autor:: Kateřina Mrkvičková