Dane pracowników w chmurze – czy to bezpieczne? Świat oszalał na punkcie chmury obliczeniowej. Dziś każda, szanująca się firma świadcząca usługi elektroniczne przenosi je i udostępnia za pośrednictwem internetu. Cloud computing, to obok automatyzacji, sztucznej inteligencji, rozwiązań mobilnych jeden z najsilniejszych trendów informatycznych dzisiejszych czasów. |
|
![]() Dane pracowników w chmurze – czy to bezpieczne?
Nie ulega wątpliwości, że aplikacje i usługi udostępnione w chmurze w stosunku do tych samych rozwiązań, ale opartych na lokalnej infrastrukturze mają wiele istotnych przewag.
Przede wszystkim rozwiązania te nie wymagają inwestycji we własną infrastrukturę informatyczną – nie wymagają utrzymywania serwerów, ani posiłkowania się usługami specjalistów w dziedzinie administracji sieci, baz danych czy aplikacji.
Własna infrastruktura informatyczna, oprócz kosztów jej utrzymywania wiąże się także z wieloma wyzwaniami logistycznymi. Sprzęt trzeba amortyzować, co jakiś czas wymieniać, zabezpieczać, konserwować, badać jego wydajność, testować.
Kolejną zaletą chmury jest łatwość dostępu do oferowanych przez nią usług: z dowolnego urządzenia, z dowolnej lokalizacji, bez przerw i okien serwisowych.
Chmura ma zatem wiele zalet. Podstawowe pytanie brzmi jednak: czy jest bezpieczna?
Pytanie to nabiera szczególnego znaczenia w przypadku rozwiązań HR działających w chmurze. Rozwiązania te udostępniając usługi w chmurze, również swoje dane, czyli w szczególności dane osobowe pracowników organizacji, przechowują w chmurze obliczeniowej.
Na bezpieczeństwo danych osobowych należy patrzeć przez pryzmat trzech podstawowych zagrożeń: wyciek lub nieupoważniony dostęp, utrata i brak dostępu. Rozwiązanie jest tym bezpieczniejsze im prawdopodobieństwo wycieku lub nieupoważnionego dostępu, utraty lub braku możliwości dostępu jest mniejsze.
Wycieki lub nieupoważniony dostęp są spowodowane lukami w procesach i procedurach dostępu do danych (logowanie, autoryzacja, przesyłanie) lub procesach i procedurach przechowywania danych (pomieszczenia, serwery, bazy danych, pliki).
Utrata danych ma miejsce wtedy, kiedy dochodzi do awarii, w wyniku której dane zostaną uszkodzone lub zniszczone, a możliwości odtworzenia danych są ograniczone lub nie istnieją.
Brak dostępu może mieć miejsce w sytuacji awarii związanej z dowolnym elementem rozwiązania informatycznego (sieć, aplikacja, infrastruktura), której nie da się usunąć w odpowiednio krótkim czasie.
Jak widać z powyższego istnieje wiele potencjalnych zagrożeń bezpieczeństwa danych w chmurze. Ryzyka związane z bezpieczeństwem można jednak minimalizować. Podstawowa zasada w tym zakresie brzmi następująco – należy używać jednocześnie wszystkich znanych i dostępnych metod, narzędzi i procedur bezpieczeństwa zarówno w obszarze technologicznym jak i organizacyjnym.
Ponieważ zwykle rozwiązania dostępne w chmurze są oferowane przez zewnętrznych dostawców należy wybierać tylko takich dostawców, którzy są w stanie zapewnić jednocześnie wszystkie stosowane metody, narzędzia i procedury.
Przygotowaliśmy dla Ciebie checklistę metod, narzędzi i procedur, które powinny być stosowane / spełnione, aby uznać, że dane rozwiązanie udostępniane w chmurze obliczeniowej minimalizuje ryzyka związane z bezpieczeństwem, czyli zagrożenia wycieku lub nieupoważnionego dostępu, utraty i brak dostępu do danych. Oto nasza checklista:
- Komunikacja powinna odbywać się z wykorzystaniem protokołu SSL
- Dostęp do systemu powinien opierać się na bezpiecznym haśle opartym na restrykcyjnej polityce (długie hasła, spełniające określone wymogi, częste zmiany haseł, zabronione powtarzanie haseł przy zmianie)
- Dostęp do systemu powinien być dodatkowo zabezpieczony hasłem jednorazowym na potrzeby każdej sesji przesyłanym niezależnym kanałem w oparciu o SMS, mobile PUSH lub email
- Dostęp do systemu powinien być automatycznie blokowany po kilku nieudanych próbach logowania / autoryzacji
- Użytkownicy systemu / administratorzy powinni być automatycznie informowani z pośrednictwem email lub SMS o nieudanych próbach logowania / autoryzacji
- Rozwiązanie powinno być chronione systemami Anty DDOS
- Dane powinny być przechowywane w zaszyfrowanej postaci
- Stosowane centrum przetwarzania danych powinno spełniać standardy bezpieczeństwa
- Powinny być stosowane backupy danych ze zweryfikowaną metodologią odtwarzania
- Połączenia sieciowe powinny być redundantne
- Z dostawcą usług (podmiot przetwarzający) powinna być podpisana umowa spełniająca wymogi RODO
- Dostawca usług powinien przedstawić umowy z wszystkimi podmiotami przetwarzającymi biorącymi udział w przetwarzaniu danych
- Dostawca usług powinien poddawać się systematycznym przeglądom i audytom bezpieczeństwa
- Dostawca usług powinien gwarantować poziom dostępności usług, na poziomie minimum 99,5%, co oznacza niedostępność usług systemu przez maksymalnie 40 godzin w roku
| 
