Rambler's Top100
Статьи ИКС № 09 2012
Алексей ЛУКАЦКИЙ  18 сентября 2012

Обратной дороги нет

Если компания перешла в облака, обратного пути уже нет, – это подтверждает опыт компании Cisco, переведшей функционирование офиса в облачную среду.

Алексей ЛУКАЦКИЙ, бизнес-консультант по безопасности Cisco SystemsДо прихода в Cisco я работал в российской компании – интеграторе информационной безопасности, где был запрещен удаленный (тем более мобильный) доступ к информации и приложениям, размещенным внутри локальной сети. Об облаках тогда никто не думал (да и сейчас мало кто из российских ИБ-компаний пользуется облачными сервисами). Придя в Cisco, я поразился тому, что у сотрудников не было стационарного компьютера, только лэптопы, и никто не заставлял приходить в офис и сидеть за столом с 9 до 6. Принцип «офис там, где работа, а не работа там, где офис» здесь был реализован чуть ли не с самого основания компании.

Уже давно в Cisco был заложен подход Web 2.0 – все построено на интернет-технологиях. Компания никогда не называла его частным облаком, хотя в современной терминологии это оно и есть, только появилось больше десяти лет назад. И безопасность подстраивалась под такие условия труда, оснащая лэптопы сотрудников соответствующими техническими решениями, прозрачными для пользователей, но обеспечивающими нужный уровень безопасности (заметим, что 70% этих решений было разработано здесь же).

Потом компания перешла на доступ с мобильных устройств, а спустя всего год или два разрешила сотрудникам использовать собственные устройства – задолго до появления термина BYOD. Как это удалось? Основной акцент был сделан не на технологиях (их на рынке в избытке), а на работе с пользователями. Регулярное обучение, пилотные проекты, тестирование на продвинутых пользователях, выслушивание мнений сотрудников, приоритет бизнеса над безопасностью… Все это позволило не только найти баланс между комфортом и безопасностью использования мобильного доступа, но и тесно интегрировать первое со вторым.

Сейчас некоторые сервисы переданы на аутсорсинг внешнему облачному провайдеру, но это не повлекло за собой серьезных проблем – культура работы с такими сервисами в компании внедрена уже давно. Риски снижения доступности мы, конечно, оценивали, но этот риск не сильно отличается от того, что было ранее. При этом мы проработали соответствующий SLA и договор с облачными провайдерами, а также разработали целый ряд контролирующих мер, которые позволяют надеяться, что эти риски никогда для нас не наступят.

Компаниям, которые еще только собираются в дорогу, советую твердо усвоить: никакого отступления после перехода к облакам быть не может. Облака и выбирают для того, чтобы сэкономить на инфраструктуре, приложениях, оборудовании. Если пользователь от всего этого отказывается и переносит свои данные и приложения в облака, то вернуться обратно очень затруднительно, это похоже на построение новой инфраструктуры. И хотя пользователь услуг публичного облака ничего не может в нем обезопасить (если он не пользуется IaaS или PaaS, где у него есть некоторая свобода действий), он может и должен контролировать облачного провайдера. Для этого надо полностью пересмотреть деятельность своей службы инфобезопасности, которая должна уже не сама что-то защищать, а следить, как это делает другая компания. Это требует не просто пересмотра всех принципов, но и выбора новых технических решений, а также привлечения юристов, которые будут прорабатывать договоры с облачными провайдерами именно в контексте ответственности и гарантий по вопросам безопасности.  
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!