Bezpieczeństwo danych firm produkcyjnych w chmurze
W dzisiejszych czasach przechowywanie danych w chmurze nie robi specjalnie na nikim wrażenia. Praktycznie każdy z nas ma prywatnego Google Drive, iCloud, OneDrive czy inny dysk „w chmurze”. Migracja danych przedsiębiorstwa, a zwłaszcza firmy produkcyjnej to już inna liga. Poza kopiuj/wklej należy również przenieść procesy organizacji, a bardzo często przy tej okazji je zdefiniować na nowo. W tym artykule skupię się na aspekcie bezpieczeństwa przeniesionych danych. Czy przeniesienie mojej firmy do chmury jest bezpieczne? Czy może jednak lepiej mieć swój serwer? Zapraszam!
Dane firm produkcyjnych
Czym są dane, a dokładnie o jakiego typu danych piszę? Firmy produkcyjne czy biura projektowe operują nie tylko standardowymi plikami jak dokumenty biurowe, zdjęcia, skany czy maile. Bardzo często „know-how” produktu zapisane jest w postaci plików CAD. W porównaniu do standardowych plików, dane te są ze sobą powiązane tj. poszczególne części powiązane są plikami złożeń i odwrotnie. To sprawia, że zarządzanie tego typu danymi wymaga bardzo wysokiej higieny pracy, a w przypadku większych zespołów dedykowanego oprogramowania do zarządzania danymi jak PDM lub PLM. Dlaczego ten wstęp? Ponieważ myśląc o migracji tego typu danych do chmury nie wystarczy po prostu kupić przestrzeń dyskową w chmurze i przenieść 1:1 całe repozytorium danych. Takie rozwiązanie nie specjalnie przyniesie korzyści dla firmy, a często spowoduje więcej zamieszania i problemy z wydajnością działania aplikacji CAD. Zatem rozważając migrację danych CAD do chmury, musisz wziąć pod uwagę, że to nie tylko dysk chmurowy, ale tak naprawdę oprogramowanie do zarządzania danymi / obiektami osadzone w infrastrukturze chmurowej.
Według Raportu Computerworld „Inwestycje IT w kierunku rozwoju polskich firm w latach 2021-2022. Chmura i nowe technologie”, 67% ankietowanych uważa, że chmura obliczeniowa będzie głównym motorem zmian technologicznych, a 43% twierdzi, że migracja aplikacji biznesowych do chmury poprawi efektywność kosztową swojej firmy. Tu ważne, że nie chodzi o migracje tylko danych, ale przeniesienie aplikacji on-premises do chmury. Tak jak wspomniałem wcześniej, mogą być to aplikacje klasy CAD, ale również takie narzędzia jak poczta e-mail (tak, jeszcze wiele firm trzyma pocztę lokalnie u siebie na serwerze), aplikacje biznesowe ERP czy CRM.
Na co zwrócić uwagę przenosząc dane do chmury?
Wiele osób zadaje sobie pytanie - czy przenosząc „know-how” mojej firmy do chmury nie ryzykuje? Rozważając wybór rozwiązań chmurowych w kontekście bezpieczeństwa, powinieneś zwrócić uwagę na kilka aspektów:
- Dostawca oprogramowania / przestrzeni chmurowej. Czy firma, która odpowiada za data center ma odpowiednie kompetencje, personel, wsparcie techniczne? Posiada odpowiednie certyfikaty? Przykładowo mogą to być: ISO 27001:2017, ISO 27017:2015, ISO 9001:2015, ISO 2700x. Innymi słowy, należy dokładnie zweryfikować dostawcę technologii. Tu warto zwrócić uwagę, że w przypadku złożonych aplikacji jak np: system ERP, PLM poza producentem jest również partner wdrożeniowy, który wspiera firmy w uruchomieniu aplikacji.
- Serwery dostawcy. Gdzie są zlokalizowane serwery danego dostawcy? Czy są zlokalizowane na bezpiecznym terenie? W jaki Państwach? Niektóre branże wymagają, aby serwery były zlokalizowane w tym samym Państwie co lokalizacja przedsiębiorstwa. Ile jest tych data center? Jakie są procedury w przypadku awarii?
- Zaplecze technologiczne/mechanizm zabezpieczeń. Jak duże zaplecze techniczne posiada dostawca technologii? Czy oferuje wsparcie 24/7, monitoring kontrolujący pracę wszystkich urządzeń w data center czy także ochronę budynków przed pożarem (tu znów wracam do OVH). Jakie mechanizmy zabezpieczeń danych dostawca udostępnia użytkownikom czy administratorom systemów? Np. mechanizm 2FA, aplikacja, klucz sprzętowy, narzędzia kontroli dostępu, raportowanie zużycia, przejrzysty model licencjonowania, uwierzytelnianie SSO, itp.
Rola użytkowników w bezpieczeństwie danych
Jednak jednym z najważniejszych i jednocześnie często najsłabszym ogniwem jest użytkownik. Zamiast martwić się czy ktoś „zhackuje” naszą chmurę, lepiej odpowiednio przeszkolić użytkowników. Nie chodzi tu tylko o szkolenia z korzystania z konkretnych aplikacji, ale również szkolenia z obszaru bezpieczeństwa tj.: dodatkowe metody weryfikacji dostępu 2FA, odporność na scam i phishing, znajomość technik jakimi posługują się przestępcy. Myślisz, że to nieważne? Otóż jest wiele przykładów właśnie na to, że to użytkownik najczęściej jest winny złamaniu zabezpieczeń. Nie trzeba daleko szukać, kilka tygodni tematu włam do wewnętrznych systemów Ubera i Revoluta był spowodowany właśnie zgodą użytkownika na wejście do systemu. Wcześniej przestępca wzbudził zaufanie użytkownika, co też pozwoliło na uzyskanie zgody (mimo 2FA). Niestety nawet najlepszy i najlepiej zabezpieczony system obsługiwany przez niewłaściwe i niekompetentne osoby nie będzie bezpieczny.
Tu warto zwrócić uwagę na rolę IT. Ktoś mógłby pomyśleć, że skoro rezygnujemy w firmie z serwerów, fizycznych maszyn, systemów serwerowych to w sumie ten informatyk już nie jest tak potrzebny. Nic bardziej mylnego! To właśnie zespół IT powinien być pomysłodawcą i realizatorem wdrożenia nowych technologii, w tym również opartych o technologie chmurowe. Tylko kompetentny zespół IT jest w stanie zapewnić bezpieczeństwo danych firmy, zadba o odpowiednie szkolenia zespołu, bezpieczeństwo poczty internetowej czy wewnętrznych systemów informatycznych. W mojej opinii rola IT jest obecnie znacznie większa niż jeszcze miało to miejsce kilka lat temu.
Wymogi rozwiązań chmurowych
Musimy jednak pamiętać o dwóch ważnych wymogach w zakresie rozwiązań chmurowych. Pierwszym z nich jest (co pewnie jest oczywiste) dostęp do Internetu. Tak, wiem, że praktycznie wszędzie w Polsce jest Internet. Jest jednak wiele miejsc, również przemysłowych, gdzie prędkość i stabilność połączenia pozostawia wiele do życzenia. W takim przypadku migracja głównych systemów informatycznych firmy będzie stanowiła duże wyzwanie, a korzystanie z takich rozwiązań będzie problematyczne, a w konsekwencji nie przyniesie korzyści, a jedynie koszty i frustracje użytkowników. Drugim równie ważnym aspektem jest konieczność budżetowania stałych wydatków na rozwiązania chmurowe, bez względu na to czy jest to przestrzeń dyskowa czy oprogramowanie SaaS. Każde z nich wymaga miesięcznych, kwartalnych czy rocznych nakładów finansowych. Bez tego po prostu nie będziesz mieć dostępu do narzędzi, a myśląc o takim systemie jak np.: ERP brak dostępu uniemożliwi prowadzenie działalności. Nie twierdzę, że jest to wada czy wielki problem, jednak nadal zwłaszcza w firmach produkcyjnych panuje przekonanie, że oprogramowanie kupuje się raz i koniec, jakby miało działać do końca świata. Widać to również przy przedłużaniu usług wsparcia i dostępu do aktualizacji dla oprogramowania, gdzie Polska w stosunku do zachodnich krajów Europy wypada o około 25% gorzej.
Tak więcej odpowiadając na główne pytanie tego artykułu: Czy przechowywanie „know-how” firmy produkcyjnej w chmurze jest bezpieczne? TAK. Wykorzystywane rozwiązania chmurowe będą bezpieczne o ile zadbamy o wiedzę, świadomość i kompetencje użytkowników.
O bezpieczeństwie danych w firmach produkcyjnych posłuchasz także w jednym z odcinków Podcastu SOLIDEXPERT. Zapraszam do odsłuchu:
Spotify: https://spoti.fi/3E9RkBs
Apple Podcast: https://apple.co/3WBxuGt
Jeśli masz dodatkowe pytania, jestem do Twojej dyspozycji. Zapraszam do kontaktu:
|