Przeskocz do treści

5 zasad bezpiecznej chmury dla administratorów i szefów

Nauka zdalna w pełni. Praca zdalna również. Tempo, w jakim wdrożono rozległe i zaawansowane platformy współpracy grupowej i dzielenia się informacjami może imponować. Zwykle taki proces zajmuje wiele miesięcy a czasami nawet całe lata. To przecież transformacja cyfrowa, a ta zawsze wymaga cierpliwości i nabywania doświadczeń. Polskie szkoły zostały więc rzucone na bardzo głęboką wodę., żeby nie utonąć, trzeba zatroszczyć się o bezpieczeństwo. Poniżej 5 kluczowych zasad, wspierających tworzenie środowiska cyfrowego zaufania.

Na początek pewne drobne, dość istotne rozróżnienie. Poniższe reguły adresowane są do administratorów platform. Ich wybór pomija wiele prostych i skutecznych sposobów bezpiecznej obecności w chmurze, które mają charakter indywidualny. Pamiętać jednak należy, że wszystkie razem powinny tworzyć spójny ekosystem. Po drugie, pomijam kwestie prywatności w tego typu systemach. Jej analiza warta jest odrębnego tekstu. Wynika to z tego, że narzędzia jakie otrzymuje admin, pozwalają na daleko idącą kontrolę zdarzeń i informacji a same platformy są w pewnym sensie „przezroczyste”.

Potrzeba bezpieczeństwa

Zanim zaczniemy omawianie zasad korzystania z rozwiązań chmurowych, musimy zdać sobie sprawę, że nie mamy do czynienia z aplikacją czy pojedynczym serwerem. Office 365, G-Suite czy iCloud to gigantyczny układ połączonych ze sobą drobnych systemów informatycznych.  Pracują one w szeregu ogromnych centrów danych, rozmieszczonych na całym świecie. Ich moc obliczeniowa udostępniana jest nam za opłatą lub w formie darowizny od dostawcy (Microsoft-u, Google’ea czy innych). Przenosząc różne operacje dotakiego miejsca, zgadzamy się na to, że tracimy kontrolę nad infrastrukturą – działa ona przecież w chmurze. Nie musimy budować własnej. Ufamy również, że właściciel takiej serwerowni, nic nie zrobi naszym danym. Nie jest to też w jego interesie. Jest to oczywiście bardzo wygodne, ponieważ nie musimy dbać o utrzymanie i konserwację sprzętu, niezawodność oprogramowania. Nie interesuje nas prąd, chłodzenie oraz ciągłość dostaw części zamiennych. Zwyczajnie włączamy komputer kliencki, zwykłego peceta czy maca, tablet albo smartfon, łączymy się z naszymi usługami i już. Z dowolnego miejsca na świecie. Działa! Gra i buczy! No niezupełnie. To jeszcze nie wszystko.

„Chmura” to niesamowicie wygodne rozwiązanie, każdy może się łatwo połączyć z zasobami. Nie zawsze chcielibyśmy jednak, aby tak było a przynajmniej chcielibyśmy nad tym panować. Na instytucjach i ich administratorach rozwiązań IT ciąży obowiązek ochrony tego, co zostanie do takiej platformy wrzucone. Nie można tego obowiązku ominąć. Z jednej strony konieczność ochrony określonych informacji nakłada na nas prawo (RODO i inne przepisy) a z drugiej strony powinien znaleźć się zdrowy rozsądek, podparty zachowaniem podstawowych reguł postępowania z tak potężnymi rozwiązaniami. Brak zasad prędzej czy później spowoduje jakiś wyciek danych. Posłużą one do fishingu sprofilowanego czy kilku jeszcze innych, mniej lub bardziej mrocznych aktywności. Polskie szkoły już teraz powinny zabrać się za rewizję protokołów bezpieczeństwa. Niekiedy trzeba będzie stworzyć je zupełnie od zera.

5 zasad

Zarządzanie bezpieczeństwem w dużej organizacji – a taką jest szkoła – to proces. On nigdy się nie zakończy. Jest ciągły.  Istnieje wiele wzorców konstrukcji takiego planu. Wyjściowym może być rodzina norm ISO 27001 i kolejne. Uprośćmy to jednak i  zredukujmy do pięciu kluczowych zasad.

  1. ZIDENTYFIKUJ KLUCZOWE INFORMACJE JAKIE CHCESZ  CHRONIĆ

W każdym systemie informatycznym przechowujemy dane, które mają charakter wrażliwy albo poufny. Trzeba je zidentyfikować i nazwać. Mogą to być dokumenty operacyjne szkoły, prace uczniów a nawet zdjęcia z imprez. Każdy z tych materiałów może potencjalnie podlegać ochronie prawnej, powinien też stanowić swoistą tajemnicę służbową. W katalogu przechowywanych informacji powinniśmy również uwzględnić wszystkie zbiory danych, jakie przechowujemy. Nawet wykaz szczotek i wiader. Po co? Przede wszystkim po to, aby możliwe było zarządzanie tym, kto do czego ma dostęp. Jest też inny powód. Treści cyfrowych nie powinno przechowywać się wiecznie. Tak, jak w klasycznym archiwum papierowym, dokumenty mają swoją określoną przydatność. Termin ważności. Jeśli upłynął, to nie powinien on być dalej magazynowany.

Ta zasada prowadzi nas do jednego istotnego wniosku. Bezpieczeństwo rozproszonych rozwiązań chmurowych, to przede wszystkim ochrona informacji. Oczywiście, informacja znajduje się w jakimś pliku, nośnik jednak ma tu wtórne znaczenie. Plik jest łatwiej chronić. Można go zaszyfrować. Kontrolować dostęp. Trudniej jest chronić to, co zawiera, bo to prędzej czy później wiąże się z człowiekiem, który jest najsłabszym ogniwem każdego systemu bezpieczeństwa.

2. STWÓRZ LOKALNĄ INSTRUKCJE BEZPIECZEŃSTWA

Platformy chmurowe mogą pomóc w uproszczeniu wielu codziennych czynności. Służyć mogą do koordynacji każdej aktywności różnego typu organizacji. Dzięki zaawansowanym mechanizmom separowania różnych części systemu Office 365 czy G-Suite obsłuży całą szkołę, jej pocztę, sekretariat i lekcje. Czemu nie. Nie ma się co bać. Trzeba tylko przestrzegać jednej reguły. W świecie cyfrowym istnieje pewna złota zasada a wręcz swoiste przykazanie, na którym powinien opierać się cały mechanizm: „dawaj tyle uprawnień, ile jest niezbędne do pracy”. Co to oznacza? Pracownik, uczeń powinien móc tyle zrobić w jakiejś aplikacji, ile wynika to z rzeczywistych potrzeb na danej pozycji. Nic więcej. Ciekawość nie jest tutaj zbyt dobrą cechą. Wymaga to jedynie stworzenia pewnego rodzaju mapy uprawnień. Może ona opierać się na zdefiniowanych rolach np: dyrektor, wicedyrektor, kierownik administracyjny, nauczyciel, uczeń etc. Ról może być wiele. Ponieważ posiadam określoną rolę, przysługuje mi dostęp do pewnych zasobów, a do innych nie. Proste? Oczywiście, że proste, bo zasoby zdefiniowaliśmy w punkcie pierwszym. 

3. REGUŁY BEZPIECZEŃSTWA DLA WSZYSTKICH

W każdej instytucji ważne jest to, aby postępować w określonych sytuacjach w jednakowy sposób. Ważne są nawyki. Te jednak zmienić bardzo trudno. . Podstawowe zasady dostępu do danych, sposobów logowania (w tym wieloskładnikowego) powinny być przestrzegane tak samo przez wszystkich. Dotyczy to również sprzętu (w tym telefonów komórkowych). Wyjątki? Bez wyjątków. Świat nie jest jednak idealny. Jeśli pojawią się wyjątki, powinny zostać odnotowane na piśmie. Spisane powinny zostać też reguły, które powinny zostać zachowane. Część z nich dla wielu może okazać się nowa… jak choćby to, że trzeba dbać o poufność korespondencji z użyciem firmowego adresu e-mail, że hasła do konta w chmurze nie można przyklejać pod biurkiem. Mało tego, hasło będzie regularnie resetowane. Po co? No właśnie. Udzielenie przystępnej odpowiedzi na to pytanie, stanowi fundament. Wszyscy muszą sobie zdać sprawę, że  nasza szkolna chmura przechowuje całe gigabajty danych stworzonych przez  uczniów. Je trzeba chronić. Koniec. Kropka. 

Potrzeba ochrony powinna stać się więc nawykiem, a te trzeba ćwiczyć. Wprowadzając szkolny katalog dobrych praktyk związanych z chmurą, musimy uwzględnić stały, cykliczny trening zasad zachowania. Tak samo jak ćwiczy się ewakuację czy pierwszą pomoc, tak samo trzeba powtarzać szkolenia z zakresu bezpieczeństwa. Te zawsze były traktowane po macoszemu. To się powinno zmienić. Argumentem za może być to, że wyciek danych może znacząco wpłynąć na wizerunek instytucji. Straty spowodowane przez taką „wpadkę” ciężko będzie odrobić. A poza tym, nikt nie chce tłumaczyć się przed organami ścigania… i przed rodzicami.

4. MONITORUJ I ŚLEDŹ

W grupach facebokowych poświęconych Office 365 pojawiło się wiele pytań, jak wyłączyć to czy tamto. Jak odciąć czat, jak uniemożliwić tworzenie zespołów etc. Pytania są dość ciekawe z technicznego punktu widzenia. I tylko z takiego.  Merytorycznie mogą nie mieć uzasadnienia, jeśli chcemy uczyć cyfrowej współpracy. W wielu wypadkach uczniowie rozumieją ją lepiej niż my – dorośli – bo grają. Gry bez kooperacji są nudne. Zakazywanie nie tworzy przyjaznego cyfrowego klimatu. Argumentem za deaktywacją często jest jednak bezpieczeństwo. Jeśli rozumiemy je represyjnie, to jest to prawda. Administrator powinien jednak dążyć do tego, aby w organizacji panowało poczucie bezpieczeństwa. Jakiś rodzaj dobrostanu. Ale jak to osiągnąć? Paradoksalnie, monitorując i śledząc aktywności w zarządzanym systemie. Wychwytywane powinny być potencjalnie niebezpieczne konwersacje (zawierające wulgaryzmy czy frazy kojarzące się z przemocą). Za pomocą mechanizmów DLP (Data Loss Prevention), należy analizować to, czy poufne informacje nie wydostają się na zewnątrz. Powinniśmy też sprawdzać i gromadzić informacje o incydentach bezpieczeństwa. Stworzenie procedur raportowania w tym zakresie jest również dość ważne. Wszyscy stanowią część systemu zatem każdy powinien informować o potencjalnie niebezpiecznych zdarzeniach. Jest to normalna praktyka w firmach, do szkół musi ona zawitać w przyspieszonym tempie.

Można się przerazić. Prawda? Prawie jak w „Terminatorze”. Nie ma czego się bać. Wspomniałem na początku, że systemy chmurowe są przezroczyste. Tak właśnie jest. Administratorzy mogą dokładnie obserwować naszą aktywność. Narzędzia do tego służące są integralną częścią każdej platformy. Wszscy powinni zdawać sobie z tego sprawę. Elementem instrukcji bezpieczeństwa organizacji powinien być również mechanizm dostępu i wykorzystania tych danych, tak, aby każdy ostatecznie mógł mu zaufać.

5. SZACOWANIE RYZYKA

Każda organizacja, używająca rozwiązań chmurowych powinna analizować różnego rodzaju ryzyka, związane z jej działaniem i wykorzystaniem.  Dzięki takim badaniom, można stworzyć procedury reagowania kryzysowego. Nie jest to łatwa sprawa, ponieważ modeli wzorcowych dla edukacji jest niewiele. Ich zawartość bazuje zwykle na doświadczeniu zarządzających, co samo w sobie jest już ryzykiem. W świecie IT są  jednak wzorce do których można się odwołać. Oprócz wspomnianej rodziny norm ISO 27001, można również skorzystać z katalogu dobrych praktyk ITIL. Warto też pamiętać o tym, że analiza ryzyka wymaga stałej aktualizacji. Otoczenie się zmienia, ludzie się zmieniają. Trzeba wziąć na to poprawkę.

Świat bezpieczeństwa jest zatem światem pewnych zasad, jakich trzeba przestrzegać. Dobrostan cyfrowy będzie wrzeczywistości ich rezultatem.

1 reply »

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

%d blogerów lubi to: