Chmura wymaga zmiany mentalności, przestawienia się na inny sposób korzystania z IT. Dlatego z jednej strony trzeba być świadomym, co ta technologia może nam dać, a z drugiej zdawać sobie sprawę, na jakie zagrożenia i związane z nimi ryzyko nas wystawia.

Security Excellence to program wymiany wiedzy i doświadczeń wokół tematu cyberbezpieczeństwa i ochrony informacji, łączący liderów ze świata IT, security i biznesu. Na zakończenie sesji strategicznej o chmurze i związanych z nią wyzwaniach bezpieczeństwa, odbył się panel dyskusyjny, który był próbą zebrania odpowiedzi na pytania przewijające się przez całe spotkanie.  

Jakie są bariery głębszego wejścia do chmury z punktu widzenia bezpieczeństwa, prywatności i ochrony informacji?  

Regulacje i compliance, organizacyjne, technologiczne, kontraktowe?  Czy na pewno firmy i sami dostawcy usług chmurowych są przygotowani na tak głębokie wejście biznesu do chmury? Jakie warunki są niezbędne i konieczne do spełnienia po obu stronach, by wejście do chmury dawało korzyści biznesowe a jednocześnie było bezpieczne. Dlaczego chmura staje się coraz częściej strategicznym kierunkiem rozwoju firm? 

Zgodziliśmy się co do tego, że coraz większe wykorzystanie rozwiązań chmurowych i SaaS  jest nieuniknione w naszych organizacjach - zarówno w zakresie aplikacji i usług biznesowych ale też rozwiązań security z chmury. 

Dla Andrzeja Załuskiego, Head of IT w Michał Sołowow Group, który zarządza portfolio bardzo różnych podmiotów składających się na tę organizację, chmura przede wszystkim daje możliwość szybkiego uruchamiania w ramach grupy kolejnych biznesów, zarówno tych tworzonych od podstaw jak i pozyskiwanych w drodze akwizycji.  

Gdybyśmy uruchamiali te spółki w tradycyjnym modelu, nie mielibyśmy najmniejszych szans na odpowiednie wsparcie biznesu. Dzięki chmurze możemy to zrobić bardzo szybko i nie ma znaczenia, czy jest to spółka usługowa, czy produkcyjna. Ważne są także zdolność do adaptacji uruchamianego podmiotu dzięki chmurze oraz możliwość utrzymania ciągłości działania. To wszystko sprawia, że w zasadzie nie porównujemy już kosztów on-prem vs cloud, lecz szukamy najbardziej optymalnego modelu kosztowego w chmurze – mówił Andrzej Załuski.

W przypadku chmury ważną kwestią są regulacje. O ile sektor finansowy ma ich sporo (niektórzy twierdzą, że wręcz za dużo), o tyle inne branże narzekają na ich brak. Co zrobić, by regulacje stały się pomocą a nie barierą w bezpiecznej drodze do chmury? Czy w ogóle można się bez nich obejść?

Jak zauważył Łukasz Wojewoda, Dyrektor Departamentu Cyberbezpieczeństwa w KPRM, obecnie nie ma twardej regulacji na poziomie ustawy. Pomimo tego mało jest odważnych, którzy - twierdząc, że wszystko mają pod kontrolą - wchodzą do chmury na własnych warunkach. Zdecydowana większość, zwłaszcza jeśli chodzi o podmioty publiczne, chciałaby regulacji, która wprost mówiłaby wprost co wolno, a czego nie wolno.  

Co nie oznacza, że nie pojawiają się głosy o przeregulowaniu. Ja sam podzielam opinie, że próbujemy w Polsce za dużo określać i wymagać, na czym cierpi pomysłowość, elastyczność czy zaangażowanie. W dodatku trudno o taką regulacją, która nie miałaby wad – zauważył Łukasz Wojewoda.

Z drugiej strony, często nie umiemy do końca interpretować regulacji w taki sposób, by one nas nie blokowały tylko motywowały do jak najlepszego zarządzania ryzykiem.

Według Beaty Mycer, CIO w ULTIMO, regulacja może pomóc w uświadamianiu zarządu, jak duże jest ryzyko, a także może stanowić ostateczny argument w rozmowach z tymi, których w żaden inny sposób nie daje się przekonać. Dlatego regulacje są potrzebne, pod warunkiem, że są mądrze wykorzystywane. 

Nawet jeśli pokażemy skutki zagrożeń, różne złe scenariusze, które mogą się wydarzyć, a także ich wpływ na biznes, możemy nie spotkać się ze zrozumieniem. Wtedy pomocna staje się odgórnie narzucona regulacja – mówiła Beata Mycer.

Ponadto zwracała uwagę jak ważna jest rola specjalistów i ciągłe podnoszenie odpowiednich kompetencji w organizacji.

W dyskusji społeczności nie brakowało głosów chwalących bliskie nadejście takich regulacji, jak Dyrektywa NIS2 czy DORA - jako porządkujących wiele nierozwiązanych do tej pory spraw. W oparciu o regulacje można tworzyć schematy ułatwiające wprowadzanie wewnętrznych wymogów w firmach i kontrolowanie ich wykonania. Można zresztą wykorzystywać do tego nie tylko europejskie wytyczne i dyrektywy, ale także np. ramowe ramy podnoszenia cyberbezpieczeństwa infrastruktury krytycznej stworzone przez amerykański NIST. 

W naszej grupie obejmującej wiele podmiotów i działającej na różnych kontynentach przez cztery lata stworzyliśmy - w dużej mierze w oparciu o NIST - framework cyberbezpieczeństwa precyzujący wymagania dla całego obszaru technologii. Wyszczególnia on cztery poziomy dojrzałości, które muszą być spełniane przez poszczególne biznesy w zależności od ich skali i krytyczności. Jako biznes należący do sektora medycznego mierzymy, sprawdzamy i audytujemy się w odniesieniu do tego właśnie framework’u zarówno dla środowisk on-prem jak i chmurowych – tłumaczył Paweł Dłużewski, CISO, LUX MED 

Dyskusja pokazała także, że na drodze do chmury nie brakuje problemów, które powstają na styku dotychczasowych, tradycyjnych środowisk on-prem oraz usługowych platform dostawców. Chociaż w swej zdecydowanej większości firmy nie przestaną nagle wykorzystywać swojej lokalnej infrastruktury, to można odnieść wrażenie, że nawet najwięksi dostawcy chmury mają problem w zapewnieniu odpowiedniego wsparcia firmom korzystającym z ich usług, gdy dochodzi do wdrożeń hybrydowych albo wielochmurowych. Co ciekawe, operatorzy chmury problemów nie widzą, gdy migracja ma się w pełni opierać na ich platformie. Dlatego kolejna istotną sprawą, na którą zwracano uwagę podczas tej sesji, było stworzenie takiej strategii wejścia w chmurę, by unikać „vendor lock-in”. Żeby stworzyć możliwość wyjścia z chmury lub zmiany jej dostawcy w razie takiej potrzeby. 

Z kolei jeżeli chodzi o koszty wejścia w chmurę, pełna zgoda w dyskusji panowała nad tym, że zależą one od etapu, na którym znajduje się biznes. Łatwo wykazać przewagę cloud w przypadku nowej, rozwijającej się firmy, a dużo trudniej dla takiej, która ciągnie za sobą duży dług technologiczny. 

LESSONS LEARNED SPOŁECZNOŚCI SECURITY EXCELLENCE
Więcej informacji o programie: https://www.cionet.com/security
#6 sesja strategiczna, 8 marca 2023: https://www.cionet.com/securityexcellence/6sesja