Strefa wiedzy

Bezpieczeństwo w chmurze

10.02.2016

Organizacje w Polsce bardzo ostrożnie podchodzą do outsourcingu usług IT – w szczególności w zakresie bezpieczeństwa. Jest to podyktowane z jednej strony chęcią pozostawienia najważniejszych kompetencji wewnątrz organizacji i posiadania kontroli nad jednym z najważniejszych obszarów IT (ograniczenie popytu), z drugiej strony związane jest to z brakiem rozbudowanych usług po stronie operatorów i integratorów (ograniczenie podaży).

W szczególnie trudnej sytuacji są operatorzy, wobec których występuje wciąż ograniczone zaufanie co do możliwości świadczenia usług dodatkowych – poza standardowymi związanymi z transmisją danych czy głosu.

Odczucia te uległy niewielkiej zmianie w ostatnich dwóch latach, kiedy to zaczęto wprowadzać operatorskie usługi AntyDDoS. Ataki AntyDDoS pokazały, że nawet instytucje finansowe, posiadające duże budżety oraz jedne z lepszych rozwiązań bezpieczeństwa, nie są w stanie podołać atakom bez współdziałania z operatorami. Specyfika wolumetrycznych ataków DDoS udowodniła, iż jedynym miejscem, w którym można właściwie im przeciwdziałać, jest sieć operatora.

Rynek (klienci) oczekuje usług tańszych niż rozwiązanie wdrażane inhouse – także w zakresie bezpieczeństwa. Zakup dedykowanego rozwiązania dla organizacji wiąże się z koniecznością poniesienia wydatków na konkretne urządzenie, jego wdrożenie, obsługę techniczną (szkolenia pracowników) i serwis. Model inhouse pozwala co prawda na utrzymanie wysokiego poziomu kontroli nad rozwiązaniem, jednakże często pracownicy nie posiadają wystarczającej wiedzy na temat możliwych zagrożeń, przez co trudno jest osiągnąć najwyższy poziom bezpieczeństwa.

Managed Security Services (MSS) to model świadczenia usług bezpieczeństwa, polegający na powierzeniu profesjonalnej firmie całości lub części procesu zarządzania bezpieczeństwem infrastruktury teleinformatycznej.

Powyższe czynniki skłaniają organizacje do zainteresowania rozwiązaniami MSS, w których często urządzenia są utrzymywane w infrastrukturze dostawcy usługi, przez co możliwa jest większa elastyczność świadczenia usługi. Usługodawcy stosują różne sposoby wyceny usług w zależności od wariantu, który jest dla operatora i klienta przejrzysty. Najczęściej stosowana jest wycena zależna od chronionego pasma lub liczby użytkowników. W przypadku rozwiązań udostępnianych w chmurze dominują alternatywne metody wyceny np. zależne od wolumenu analizowanych danych lub liczby obsługiwanych zgłoszeń.

Vendorzy platform bezpieczeństwa widzą coraz większy potencjał w usługach MSS, dlatego też dostarczane przez nich rozwiązania pozwalają na uruchomienie na jednej platformie operatorskiej wielu usług równocześnie dla różnych klientów. Typowo łączone są przykładowo usługi IPS i firewall. W przypadku bardziej zaawansowanych platform dołączane są usługi DLP, WAF, proxy oraz anty-malware. Stąd do usług dostępnych w „chmurze” jest już bardzo blisko.

Rynek usług MSS w Polsce jest bardzo mało rozwinięty. Praktycznie poza usługami typu AntyDDoS, oferowanymi przez operatorów takich jak Exatel, Orange, Netia, GTS/T-Mobile, Nask, a także centralnym firewallem używanym przez Orange – CheckPoint do ochrony usług IaaS/PaaS/SaaS/BaaS, w ofercie nie występują usługi świadczone w typowych rozwiązaniach cloudowych.

Poza wymienionymi powyżej można znaleźć jeszcze kilka projektów, w których usługi MSS świadczone są w sposób bardziej integratorski niż operatorski, a więc na dedykowanej infrastrukturze klienta lub dostarczanej w ramach usług dostępu do Internetu czy sieci WAN. Właśnie tego typu świadczenie usług, a więc na wydzielonej infrastrukturze, stanowi obecnie zdecydowaną większość w realizowanych projektach. Jest to jednak domena integratorów, a nie operatorów. Wynika to wprost z czasu, jaki integratorzy poświęcili na budowanie zaufania klientów do swoich usług, budowę kompetencji z zakresu bezpieczeństwa oraz bliskiej współpracy z klientami. Integratorom zależy na sprzedaży sprzętu i to oni starają się przekonywać klientów do tego, iż rozwiązanie na dedykowanej platformie jest dla nich najlepsze.

Zwiększenie dynamiki rozwoju rynku usług bezpieczeństwa w Polsce jest uwarunkowane następującymi czynnikami:

  • szybkością przełamywania barier w organizacjach w zakresie wykorzystania outsourcingu usług bezpieczeństwa – rosnąca złożoność systemów informatycznych oraz coraz większe zagrożenia na ataki zewnętrzne i wewnętrzne wymusi wcześniej lub później konieczność kupowania wyspecjalizowanego wsparcia;
  • sprawnością edukacji wyspecjalizowanych organizacji oraz administracji publicznej w zakresie istniejących zagrożeń w sieci;
  • promocji dostawców swoich możliwości usługowych i funkcjonalności oferowanych systemów bezpieczeństwa.

Przykłady systemów bezpieczeństwa udostępnianych w modelu chmurowym:

Autor: Grzegorz Bernatek

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. II)

W pierwszej części artykułu przedstawiono podstawowe funkcjonalności dostępnych na rynku aplikacji i programów wspomagających zarządzanie zamówieniami. Zwrócono również uwagę na…

12.12.2016

Zobacz więcej

GDPR – rozbudowany obowiązek informacyjny

Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób,…

Zobacz więcej

Rola podmiotów w ujęciu Ustawy o efektywności energetycznej z 20 maja 2016 r.

ROLA ODBIORCY PRZEMYSŁOWEGO Odbiorcy przemysłowi zostali pośrednio zobligowani do działań na rzecz efektywności energetycznej – poprzez obowiązek oszczędności 1,5% energii…

Zobacz więcej

Dobór mocy umownej

Redukcja ponoszonych kosztów to coś, co zawsze brzmi atrakcyjnie i czym każdy będzie zainteresowany. Nie inaczej jest w przypadku oszczędzania…

15.11.2016

Zobacz więcej

GDPR – nowe wymagania dotyczące zgody na przetwarzanie danych

Nowe  Rozporządzenie unijne o ochronie danych osobowych (GDPR) wprowadza szereg zmian w zakresie wymagań prawnych dot. przetwarzania danych osób fizycznych…

Zobacz więcej

Najnowsze trendy na rynku usług transmisji danych

Najważniejszym trendem, który kształtował ofertę operatorów w ostatnich latach, była ewolucja w kierunku zarządzanych usług transmisji danych. Zjawisko to jest…

Zobacz więcej

Wsparcie informatyczne w zarządzaniu zamówieniami (cz.1/2)

Zarządzanie zamówieniami  jest procesem mającym istotny i bezpośredni wpływ na wynik finansowy przedsiębiorstwa. W obszarze zarządzania łańcuchem dostaw proces ten…

17.10.2016

Zobacz więcej

Testy penetracyjne – wymagania, potrzeby a rzeczywistość

Obserwowane zwiększone zapotrzebowanie na przeprowadzanie audytów bezpieczeństwa informacji to nie tylko chwilowa moda związana ze wzrastającą świadomością zagrożeń w obszarze…

Zobacz więcej

RODO – nowe zasady nakładania kar na administratorów danych osobowych

25. maja 2018 roku zaczną być stosowane przepisy rozporządzenia UE o ochronie danych osobowych, którego celem jest ujednolicenie przepisów prawa…

Zobacz więcej

Privacy Shield – pierwszy miesiąc funkcjonowania

1 sierpnia 2016 roku został uruchomiony program Tarcza Prywatności (eng. Privacy Shield) – umowa ramowa przyjęta pomiędzy Stanami Zjednoczonymi a…

16.09.2016

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.