Cyberbezpieczeństwo w chmurze

Usługi

Cyberbezpieczeństwo w chmurze

Dzięki innowacyjnym rozwiązaniom opartym o technologię chmury firmy nabywają umiejętności konkurowania w świecie, w którym decyzje podejmuje się w oparciu o dane i pogłębione analizy. Właściwie przeprowadzony – a także bezpieczny - proces przejścia do chmury wymaga jednak dokładnego zrozumienia korzyści, jakie można uzyskać dzięki wykorzystaniu technologii chmurowych, przy jednoczesnym zastosowaniu najlepszych praktyk z zakresu bezpieczeństwa.

Główne wyzwania z zakresu cyberbezpieczeństwa przy adopcji chmury

  • Zapewnienie kontroli dostępu do danych - monitorowanie kto i w jaki sposób uzyskiwał dostęp do danych w ramach sieci firmowej oraz stanowiących własność osób trzecich oraz określenie odpowiednich poziomów dostępu.
  • Współużytkowanie chmury - w chmurze publicznej znajduje się różnorodna infrastruktura różnych klientów, co zwiększa ryzyko ataku przeprowadzonego z udziałem złośliwego oprogramowania.
  • Kontrola dostępu i tzw. shadow IT - określenie poziomów dostępu do środowiska chmurowego, w tym w związku z wykorzystaniem własnych urządzeń w dobie pracy zdalnej i niekontrolowanym dostępem do usług chmurowych z dowolnego miejsca lub urządzenia.
  • Zgodność z regulacjami - przedsiębiorstwo ponosi pełną odpowiedzialność za bezpieczeństwo danych osobowych i systemu IT, choć jednocześnie korzysta z rozwiązań oferowanych przez strony trzecie. Może to powodować liczne wyzwania związane z zapewnieniem zgodności z regulacjami.
  • Nieprawidłowa konfiguracja sprzętu - ponad 86% przypadków naruszenia bezpieczeństwa danych spowodowanych jest nieprawidłową konfiguracją sprzętu i oprogramowania, stanowiącą podstawowy problem w przypadku przetwarzania w chmurze. Często wciąż w użyciu pozostają domyślne hasła administratorów lub brak jest odpowiednich zabezpieczeń zapewniających poufność danych.

 
Obszary wsparcia zespołów Deloitte:

Dlaczego my?

Połączenie najnowszych technologii oferowanych przez czołowych dostawców na rynku z głęboką wiedzą i doświadczeniem ekspertów Deloitte pozwoli wybrać najlepsze rozwiązania dopasowane do potrzeb przedsiębiorstwa. Deloitte jest uznanym liderem w zakresie wykorzystania chmury publicznej, co potwierdza Gartner Magic Quadrant for Public Cloud za rok 2022.

Oferujemy wyższe bezpieczeństwo zarządzania dostępem do zasobów Twojej firmy, w tym:

  • lepszą ochronę tożsamości i danych w przedsiębiorstwie
  • bezpieczeństwo dostępu do zasobów firmowych dla pracowników z całego świata, bez względu na to, z jakiego urządzenia korzystają
  • analizę zachowań w sieci, która może być źródłem istotnych informacji dla zapewnienia bezpieczeństwa Twojej firmy
  • dbałość o sprawne zarządzanie użytkownikami indywidualnymi i grupami oraz bezpieczeństwo dostępu do aplikacji własnych i chmurowych

Z wykorzystaniem zaawansowanych narzędzi analitycznych skutecznie zidentyfikujemy przypadki naruszenia zabezpieczeń oraz występowania zagrożeń. Stworzymy zbiór praktyk zapewniających ochronę przed zagrożeniami oraz zautomatyzujemy reakcje na zagrożenia pojawiające się w środowisku chmurowym.

Będziemy skutecznie zarządzać aplikacjami i danymi w celu zapewnienia ich ochrony. Zadbamy o bezpieczeństwo informacji i zgodność z regulacjami oraz zapewnimy możliwość kontroli urządzeń mobilnych, aplikacji mobilnych i PC w Twoim środowisku firmowym.

Zwiększymy odporność i skuteczność zabezpieczeń przed zagrożeniami wynikającymi z nieprawidłowej konfiguracji, nieprawidłowego wykorzystywania systemu autentykacji czy utraty danych wrażliwych. Ponadto, zapewnimy wysokie bezpieczeństwo pracy w chmurze dzięki zintegrowanej sprawozdawczości i poprawie skuteczności zabezpieczeń.

Zapewnimy zachowanie zgodności z regulacjami RODO przy korzystaniu z chmury z uwzględnieniem lokalizacji geograficznej i narodowości. Ponadto, oferujemy stałą kontrolę elementów środowiska chmurowego w postaci audytu bezpieczeństwa zgodnie z metodologią CIS lub Deloitte CSF.

ZERO TRUST - czym jest bezpieczeństwo sieci?

W Deloitte stawiamy na podejście ZERO TRUST, które opiera się na zapewnieniu w przedsiębiorstwie kontroli podstawowych obszarów: użytkowników, zadań, danych, sieci i urządzeń. Celem jest ochrona danych, stanowiąca centralny punkt koncepcji. Punktem wyjścia do wdrożenia ZERO TRUST jest wiedza, jakie dane posiada firma, jaki jest poziom ich istotności, kto powinien mieć do nich dostęp i jakimi sposobami, jakie mechanizmy umożliwiają dostęp do danych, a także jakie mechanizmy kontroli powinny zapewniać ich ochronę - zarówno w repozytorium, jak i podczas przesyłu.

Skutecznie zapewnimy bezpieczeństwo Twojej organizacji w świecie cyfrowym zgodnie z założeniami Zero Trust.

Dowiedz się więcej.

to activtae fullwidth component . Do not delete! This box/component contains JavaScript that is needed on this page. This message will not be visible when page is activated.

Siedem filarów wg NIST (Narodowego Instytutu Standardów i Technologii)

Zasoby – dane, usługi komputerowe oraz sprzęt to zasoby, które bezwzględnie należy chronić. Zasada ta obejmuje także urządzenia osobiste, których pracownik używa do wykonywania obowiązków zawodowych, gdyż znajdują się na nich informacje firmowe.

Komunikacja – wszelka komunikacja w obrębie sieci firmowej, jak i poza nią, powinna być chroniona i kontrolowana z użyciem możliwie najbezpieczniejszego rozwiązania.

Dostęp poprzez ograniczoną sesję – każde połączenie z krytycznymi zasobami może być nawiązywane wyłącznie w trakcie ograniczonej, kontrolowanej sesji.

Polityka dynamiczna – dostęp do zasobów organizacji powinien być przyznawany zgodnie z uprzednio zdefiniowanymi zasadami polityki firmy oraz zasadą najmniejszego uprzywilejowania.

Monitorowanie – aby zapewnić odpowiednią ochronę danych i kompleksowe bezpieczeństwo zasobów korporacyjnych, organizacje powinny objąć monitoringiem wszelkie działania i aktywności z nimi związane.

Uwierzytelnianie i autoryzacja – zanim przyznany zostanie podwyższony dostęp do dowolnego zasobu firmowego, przedsiębiorstwo powinno stosować rozwiązanie pozwalające na uwierzytelnianie i autoryzację użytkownika.

Poszerzanie świadomości – obejmuje stałe gromadzenie i monitorowanie informacji o bieżącym stanie zasobów oraz infrastruktury.

Jak wdrożyć Zero Trust i co dzięki temu sposób zyska organizacja?

Możliwość stopniowego wdrażania Zero Trust - wdrożenie w początkowym etapie prac nad poprawą cyberbezpieczeństwa w organizacji nawet części z siedmiu reguł sugerowanych przez NIST (Narodowy Instytut Standardów i Technologii) w tzw. specjalnej publikacji - Special Publication (SP) 800-207 – Zero Trust Architecture, zgodnie z potrzebami firmy, pozwoli uzyskać wzrost bezpieczeństwa infrastruktury IT przedsiębiorstwa.

Wdrożenie zasady Zero Trust nie wymaga całkowitej konfiguracji i zmiany systemów w firmie ani jej architektury IT - najlepszym rozwiązaniem jest bezinwazyjne rozszerzenie systemu poprzez dodanie segmentów zabezpieczonej sieci, szerzenie świadomości dobrych praktyk pracy w cyberprzestrzeni oraz stosowanie środków monitorowania aktywności użytkowników.

Większa przejrzystość w zakresie dostępu do zasobów – Zero Trust zakłada, że wszelkie zasoby sieciowe wymagają określenia i sklasyfikowania. Dzięki temu organizacje mają możliwość zabezpieczenia krytycznych informacji, a także kontrolowania celu dostępu do nich, co pozwala świadomie podejść do odpowiedniego zabezpieczenia danych.

Kompleksowe monitorowanie – wprowadzenie rozwiązania Zero Trust wiąże się z wdrożeniem narzędzia do stałego monitorowania i raportowania aktywności użytkowników. Umożliwia to organizacjom szybsze wykrywanie potencjalnych zagrożeń oraz reagowanie na nie w odpowiednim czasie.
System weryfikacji tożsamości - wprowadzenie skutecznego systemu weryfikacji tożsamości, sprawdzania zgodności urządzenia przed udostępnieniem danych oraz zasady najniższego uprzywilejowania dostępu do ściśle określonych zasobów. Wdrożenie tej koncepcji może wiązać się z koniecznością weryfikacji stosowanych przez firmę systemów zabezpieczeń oraz kwalifikacji, procesów i technologii, stanowiących ich podstawę.

Opracowanie i wdrożenie planu zapewnienia cyberbezpieczeństwa – odbywa się w oparciu o koncepcję Zero Trust, z uwzględnieniem relacji między komponentami systemu, planowania realizacji zadań i zasad kontroli dostępu.

Wzmocnienie podstawowych mechanizmów ochronnych
Zaostrzenie podstawowych zasad i praktyk z zakresu cyberhigieny - może ułatwić firmie osiągnięcie pełnych korzyści z zastosowania koncepcji Zero Trust.

Weryfikacja i automatyzacja systemu zabezpieczeń
Uproszczenie, integracja i automatyzacja stosowanych technologii zabezpieczeń – krok ten może poprawić skuteczność działania zespołów ds. bezpieczeństwa oraz koordynację działania procesów zabezpieczających i działalności operacyjnej.

Zmniejszona powierzchnia ataku – za sprawą skrupulatnego zabezpieczania poszczególnych zasobów firmowych, ryzyko cyberataków na granice sieci, znacznie się zmniejsza.

Wyzwania dla firm w procesie wdrażania Zero Trust

Budowa świadomości i zrozumienia dla zasad Zero Trust w tych obszarach organizacji, które muszą zostać objęte ochroną – pierwszym krokiem jest zbudowanie wiedzy, czym jest Zero Trust u osób zarządzających kluczowymi obszarami w organizacji. Pominięcie tego kroku może bowiem prowadzić do braku decyzyjności, a często także braku finansowania dla projektów dotyczących wielu działów organizacji.

Odpowiednia konfiguracja narzędzi – koncepcji Zero Trust nie można wdrożyć za pomocą jednego rozwiązania, co powoduje, że organizacje mogą mieć znaczne trudności z prawidłową konfiguracją narzędzi, z których już korzystają. Nie wszystkie aplikacje zapewniają środki do bezinwazyjnego i prostego wprowadzenia zasady najmniejszego uprzywilejowania (PoLP), która jest fundamentem koncepcji zerowego zaufania.

Ryzyko zagrożeń wewnętrznych – architektura Zero Trust znacznie poprawia ochronę przed atakami z zewnątrz, nie gwarantuje ona jednak pełnej odporności przed zagrożeniami wewnętrznymi. Jeśli osoba atakująca zdobędzie dane uwierzytelniające standardowego użytkownika, krytyczne zasoby organizacji mogą zostać naruszone. Jest to także czarny scenariusz w przypadku nadużycia podwyższonych uprawnień przez insidera.

Problem ten można jednak rozwiązać za pomocą narzędzi do zarządzania dostępem uprzywilejowanym. Uzasadnione może okazać się również stosowanie wieloskładnikowego uwierzytelniania (MFA) czy ręcznego zatwierdzania żądań dostępu administratora lokalnego.

Ograniczona elastyczność pracy – Zero Trust w dużym stopniu opiera się na administratorze zasad i silniku reguł. Bez ich zgody nie można nawiązać połączenia z zasobami przedsiębiorstwa. W rezultacie wydajność całej sieci zależy od prawidłowej konfiguracji tych dwóch komponentów.

Kontakt:

Michał Sosinka

Michał Sosinka

Partner Assosiate | Cybersecurity

Michał ma ponad 14 lat doświadczenia w obszarze IT oraz bezpieczeństwa informacji. W zespole Deloitte Risk Advisory odpowiada za usługi związane z obszarem Strategii Cyberbezpieczeństwa oraz Bezpiecze... Więcej

Agata Mizera

Agata Mizera

Senior Manager

Agata posiada 15 lat doświadczenia w IT w środowisku regulacyjnym dla wielu klientów na całym świecie. Koordynuje relacje w IT, między funkcjami biznesowymi i pomocniczymi oraz dostawcami zewnętrznymi... Więcej

Grzegorz Spychała

Grzegorz Spychała

Senior Manager

A business productivity subject matter expert with over 15 years of successful industry and professional experience. A rare combination of strengths in IT Architecture, Project and business management... Więcej

Zarządzanie chmurą i usługami w chmurze

IDC MarketScape: Worldwide Industry Cloud Professional Services 2022 Vendor Assessment