האם בטוח לאחסן מידע ארגוני ב- Google Drive (או שירותים דומים)?
גיל נוילנדר
כשמדובר באחסון מידע סודי של החברה ו/או בגיבוי שלו, שאלות שונות עולות באשר למיקום שבו יתבצע אחסון זה. חברות מסוימות בוחרות לנהל את הכול בעצמן, ומספקות גישה מרחוק, כך שעובדיהן יכולים לגשת למידע בכל רגע נתון שהם זקוקים לו.
חברות אחרות, לעומת זאת, אימצו את הענן ואת כל היתרונות שלו, כמו העלות הנמוכה של בחירת חברות שהוקדשו במיוחד למשימות אלו וזמינות המידע, ללא תלות במקום שבו הוא עשוי להיות (כל עוד יש לנו חיבור לאינטרנט, כמובן).
אבל כאשר אנו מדברים על אלמנט האבטחה של החלטות אלה, הדברים הופכים קצת יותר מסובכים, כך שיותר חברות מסרבות לאחסן מידע סודי מחוץ לחברה. וזאת למרות הצמיחה העצומה בין חברות בכל רחבי העולם שהתחילו להשתמש בשירותים כמו Google Drive ו- Dropbox בשנים האחרונות.
אחסון בענן: כן או לא?
כאשר עומדת בפנינו ההחלטה מה לבחור מבין מהפתרונות השונים, עלינו לשאול את עצמנו שאלות שונות, אשר אחת החשובות שבהן היא כנראה: האם אני יכול להציע רמה גבוהה יותר של אבטחה מזו של חברות חיצוניות אלה בכל הנוגע להגנה על נתונים אלה?
זוהי נקודה חשובה מאוד, בהתחשב בכך שרוב החברות אשר מחויבות להציע שירותים אלו נוטות להחזיק אמצעים טובים כדי למנוע מהנתונים של המשתמשים שלהם להיות בסכנה.
עם זאת, הבעיה העיקרית היא לא מה האבטחה שהם מיישמים על השרתים שלהם. הרוב המכריע של גניבת המידע מתרחשת עקב מדיניות ירודה על בקרת גישה וניהול של אישורים על ידי משתמשים.
אמצעי אבטחה נוספים
אין טעם לשכור את שירות האחסון הענן הטוב והמאובטח ביותר, אם משתמשים אשר יקבלו גישה למשאבים אלה ישתמשו בסיסמאות שקל לנחש או שכבר שימשו לשירותים אחרים שנפרצו. חשוב לנקוט באמצעים נוספים, אם השירות שאנחנו הולכים להשתמש בו מאפשר אימות דו-שלבי (2FA), זה יהיה הרבה יותר בטוח.
בנוסף, לא משנה כמה מאובטח השירות שאנו מנויים אליו, זה אף לא יהיה "יותר מידי" אם הנתונים המאוחסנים בתוך ומחוץ לחברה שלנו יהיו מוצפנים. בדרך זו, במקרה של תקרית שבה התוקפים מצליחים לקבל גישה למידע זה, לא יהיה להם קל לגשת למידע, ובכך למזער את ההשפעה של חדירה.
לבסוף, אנחנו חייבים להיות זהירים לגבי מי יכול לגשת למידע, ומה הם יכולים לעשות עם זה. אם נתנו לכל העובדים שלנו גישה למידע סודי, ואותו מידע יוכל לדלוף החוצה באמצעים אחרים, לא היינו משיגים כמעט כלום.
כדי למנוע זאת, אנו צריכים לאמץ כלים למניעת דליפות נתונים, באמצעות יישומים המזהים כאשר משתמשים מסוימים ללא הרשאות מנסים לגשת לסוג מסוים של מידע חסוי או כאשר הוא נשלח מחוץ לחברה באמצעים לא מורשים.
עמידה בתקנים
חשוב לקחת בחשבון כי הרבה חברות לא חושב על זה עד שיהיה מאוחר מדי והן יתחילו לקבל קנסות על אי עמידה בתקנים. תלוי איפה המשרדים הראשיים של החברה שלנו שבו הלקוחות והספקים ממוקמים, נצטרך לציית לחקיקה בתוקף ולאמץ סדרה שלמה של צעדים.
לדוגמה, אם החברה עושה עסקים עם משתמשים באזור האיחוד האירופי, אנחנו צריכים להתאים את מערכות האחסון וניהול הנתונים שלנו על פי GDPR, אשר יהפוך חובה מה-25 במאי 2018. עובדה זו מעלה נושאים חדשים, שאחד מהם הוא האם שירותי אחסון כמו Google Drive ו Dropbox עומדים בתקני הרגולציה.
להמשך הכתבה