Data podléhající předpisům neposílejte do oblak

-- 20.03.10 20:41

I to nejlepší zabezpečení a postupy k zajištění integrity dat nemusí být dostatečné. Zajistěte, aby se na řešení těchto otázek podíleli i vaši firemní právní poradci.

Ředitelé pro IT (CIO) jsou pod neustálým tlakem na to, aby snižovali objem základních prostředků, počet zaměstnanců a podpůrné náklady, v tom jim „oblakové“ systémy (cloud systems) nabízejí cestu k naplnění těchto cílů. Oblakové systémy (cloud systems) jsou souborem IT zdrojů (serverů, databází a aplikací), které jsou k dispozici na požádání, poskytuje je servisní společnost, jsou dostupné prostřednictvím internetu a poskytují sdílení zdrojů (resource pooling) pro více uživatelů. CIO hledají jakékoli příležitosti pro přesun interních podnikových systémů do externích oblakových systémů, protože oblakové systémy snižují objem základních prostředků, náklady na údržbu IT a přímé pracovní náklady.

Firmy využívají oblakové systémy pro elektronickou poštu, mzdovou agendu, fakturaci, objednávání a správu databází. Existuje přes 50 poskytovatelů oblakových systémů, včetně gigantů, jako jsou Amazon, Google, Microsoft a IBM. Lákavým aspektem, stříbřitým lemováním oblakových systémů jsou úspory přímých nákladů. Nicméně oblak má i temný střed, pokud jde o jeho použití pro výrobní operace. U výrobních firem mohou operační a automatizační systémy představovat významnou část rozpočtu IT, takže CIO budou usilovat o použití oblakové koncepce pro výrobní a automatizační systémy. I když kriticky významné aplikace s odezvou v reálném čase nejsou vhodnými aplikacemi pro oblakové systémy, výrobní databáze mohou být kandidátem na přesun do oblak.

Výrobní databáze mohou být obrovské, se stovkami terabajtů dat, které se musí bezpečně uchovávat po mnoho let. To se může zdát jako dobrý kandidát pro oblakový systém, ale temným mrakem za stříbrným okrajem oblakové koncepce je skutečnost, že většina externích služeb oblakové koncepce nesplňuje požadavky předpisů. Výroba a operace probíhají pod dohledem velkého množství předpisů a regulačních úřadů, jako jsou OSHA, USDA, FDA a EPA. Všechny tyto předpisy obsahují požadavky na integritu dat, jejich zabezpečení, zálohování a závaznost podmínek. Toho je v oblakových systémech obtížné dosáhnout, protože nemusíte vědět, kde se vaše data ve skutečnosti fyzicky nacházejí, jakou cestou se k nim dostat, kdo má ve skutečnosti k vašim datům přístup a jak jsou data fyzicky zabezpečená.

Pokud vaše firma uvažuje nad řešením oblakového systému, které by zahrnovalo výrobní data, pak pracovníci IT ve výrobě musí být součástí hodnoticího týmu. Tým pracovníků IT ve výrobě musí zahrnovat osoby se znalostí předpisů platných pro výrobu ve vašem odvětví. Hodnoticí strategie musí zahrnovat kontroly výběru dat (která odděluje vaše data od dat jiných firem) a přezkoumání postupů poskytovatele pro prevenci úniků dat používaných k prevenci útoků zevnitř, metody šifrování používané pro přenos dat po internetu a jejich ukládání na pevných discích a procesu správy identit. Dalšími dvěma hodnoticími kritérii je přístupnost systému pro fyzické audity, které mohou být vyžadovány regulačními orgány, a dostupnost příslušné dokumentace, která může být během auditu vyžadována.

Pro své hodnocení zvažte použití normy SAS 70 (Statement on Auditing Standards No. 70), (www.sas70.com). Zde jsou definovány normy, které auditor může využít pro posuzování smluvně zajištěných interních kontrolních prvků v organizaci poskytovatele. Většina poskytovatelů oblakových systémů má dokumentaci pro normy SAS 70. Neříká vám, zda je bezpečná, ale ukazuje, které zabezpečovací prvky jsou zavedeny. Také organizace Cloud Security Alliance (www.cloudsecurityalliance.org) definuje soubor zásad nejlepší praxe pro zajištění zabezpečení u oblakových počítačových systémů. I to nejlepší zabezpečení, postupy a procedury k zajištění integrity dat nemusí být dostatečné pro vaše data podléhající předpisům. Zajistěte, aby se na řešení jakýchkoli otázek přenosu dat podléhajících předpisům do oblaku podíleli i vaši firemní právní poradci. Tímto způsobem zajistěte, aby rizika problémů se splněním požadavků byla vyvážena s úsporami nákladů, které přinese přesun dat do oblaku.

Ce

Dennis Brandl je prezident společnosti BR&L Consulting se sídlem v Cary v Severní Karolíně, www.brlconsulting.com. Jeho společnost je zaměřena na IT pro výrobu. Dennise Brandla můžete kontaktovat na e-mailové adrese dbrandl@brlconsulting.com.

Autor: Denis Brandl