Andreas Schaupp z CSC: Cloud není příliš odlišný od outsourcingu

Rozhovor s Andreasem Schauppem, ředitelem kybernetické bezpečnosti pro Rakousko a východní Evropu ve společnosti CSC.

Andreas Schaupp z CSC: Cloud není příliš odlišný od outsourcingu


CIO Business World: Do jaké míry je v rámci portfolia služeb vaší společnosti důležitá bezpečnost?

Andreas Schaupp: Je to jedna z pěti hlavních iniciativ pro tento a příští rok. Zaměřujeme se na kybernetickou bezpečnost, protože to není téma samo o sobě, ale je to také téma pro mobilitu, pro cloud, pro big data, atd. Takže vlastně prochází všemi oblastmi, v nichž je CSC aktivní.

Myslíte si, že CIO věnují dostatek pozornosti bezpečnosti BYOD konzumerizace IT?

IT manažeři jsou běžně pod velkým tlakem, aby zprovoznili novou aplikaci, nové zařízení, atd. Proto nemají dostatek času na to, aby se věnovali bezpečnosti, neboť jde o velice komplexní téma. Musíte mít spoustu času na to, abyste jí porozuměli a učinili správná rozhodnutí. To je jedna věc.

Druhá věc je, že přinášení moderních zařízení jako jsou iPhony, iPady, smartphony s Androidem a tak dále do sítě společnosti není běžně nápadem IT manažerů. Ti jsou k tomu dohnáni, někdy i ze strany top managementu. To mám ze své zkušenosti. Top management vidí tyto krásné hračky a chce je používat ve společnosti. Takže jsou IT manažeři nuceni poskytnout jim patřičnou podporu. A to i přesto, že tato zařízení nejsou příliš bezpečná ani perfektní pro potřeby jejich byznysu. Pro potřeby byznysu by byla lepší tato zařízení (vytahuje z kapsy Blackberry), neboť mají nejlepší zabezpečení v oblasti smartphonů. Ale nejsou tak sexy jako telefony s Androidem a iPhony, že?

To je jedna z překážek, které musí IT manažeři čelit. Nevím, jestli máte povědomí o tématu malware na Androidu, ale jeho množství rapidně roste a hackeři do Android smartphonů vkládají hodně svých snah.

Jaká je politika vaší společnosti ohledně BYOD? Máte svou vlastní strategii mobilního risk managementu?

Hlavní je, že CSC svým zaměstnancům poskytuje dle našeho názoru nejbezpečnější přenosná zařízení, Blackberry. Ta mohou zaměstnanci používat pro přístup ke kalendáři, e-mailu, a dalším aplikacím. S těmito zařízeními mohou zaměstnanci přistupovat k datům společnosti. Jde o bezpečná zařízení – jak vidíte, mám ho zablokované, takže musím zadat heslo, které má některá omezení – musím do něj zadat malá písmena, velká písmena, čísla i speciální znaky, takže zde musíte používat opravdu komplexní heslo.

Andreas Schaupp, CSCDalší věc je, že máme k dispozici specifickou aplikaci pro iPad. Tato specifická aplikace využívá přístupu sandboxu.  Můžete mít přístup ke zdrojům společnosti, ale pouze v sandboxu. Takže typickou BYOD strategii nemáme. Můžete přinést svůj iPad, ale musíte používat naši specifickou aplikaci, jinak nemůžete přistupovat k datům společnosti.

Co byste na poli bezpečnosti doporučil podnikům, které nyní teprve uvažují o přesunu svých korporátních dat do cloudu?

Pro mě není cloud příliš odlišný od outsourcingu. Musíte to dělat správným způsobem. To znamená, že musíte pečlivě plánovat a také pokrýt bezpečnostní rizika. Mám tím na mysli, že sice můžete poskytnout svá data cloudu, ale zodpovědnost zůstává na vás. Takže to musíte dělat správně, protože je to vaše zodpovědnost. A s ní nemůžete manipulovat. Můžete sice říct „vy jako poskytovatel cloudu musíte poskytnout bezpečnou službu, takže musím zkontrolovat vaši bezpečnostní úroveň“ ale zodpovědnost za data, která poskytnete poskytovateli cloudu, zůstává na vás. Potřebujete tedy v organizaci někoho, kdo tématu i rizikům rozumí a kdo se stará o to, aby bylo s bezpečností nakládáno správně.

Co vy osobně vidíte jako největší bezpečnostní ohrožení, kterému dnes čelí podniky?

Myslím si, že největším rizikem pro organizace je podcenění svých vlastních bezpečnostních rizik. Je to proto, že spousta společností implementuje bezpečnostní opatření, ale nepřemýšlí o dalších rizicích, která jim hrozí. Je to, jako bych dobře chránil své přední dveře, ale své zadní dveře nechal nezabezpečené. A to je to, co vidím jako hlavní riziko pro organizace: nerozumí svým vlastním bezpečnostním rizikům.


Úvodní foto: fotodienst.at


Komentáře