נושא הענן האישי הולך ותופס תאוצה ברמה האישית, כפי שכולנו רואים, אבל לא פחות מזה בארגונים. טיפים, המלצות, שימושים מעשיים ורעיונות חדשים, יחד עם התראות ואזהרות למנהלים חכמים, מביאים מומחים מובילים בענף, כחלק מתחקיר מקצועי על ? ההזדמנויות והבעיות בענן האישי. את דבריהם אני רוצה לשתף.
יוחאי גל, מנהל טכנולוגיות ו-CTO אזורי, EMC
מציין שלארגונים יש אינטרס להכנסת תוכנות ענן אישי לארגון. הן מגבירות את יעילות העבודה, מעלות את תפוקת העובדים ומאפשרות ליצור בארגון מעגלי שיתוף פעולה באופן פשוט ומהיר. בכלים הארגוניים המקובלים (Sharepoint למשל), שיתוף אנשים וקבוצות הוא תהליך שמחייב אדמיניסטרטור, שיגדיר את יכולות השיתוף בין קבוצות המשתמשים. בארגון גדול, יכולות להיות הרבה מאד קבוצות עבודה, כולל קבוצות קטנות הקמות לצורך מיידי מסוים, והאדמיניסטרציה פוגעת קשות בתהליך השיתוף. באמצעות הכלים הללו, אין צורך בתיווך של אדמיניסטרטור והתהליך מתבצע מידית על ידי המשתמשים.
יתרון נוסף הוא הנגישות, שנובעת מהיכולת לגשת למידע מכל מכשיר ובמקרים מסוימים אף ללא חיבור אינטרנט. גם יכולת זו מגבירה את הפרודוקטיביות ובכך מועילה לארגון. יחד עם זאת, חשוב שניתן יהיה להגדיר מדיניות ברורה, שתקבע למשל, איזה מידע יוכל לעלות לענן הציבורי ואיזה ישמר רק בענן הפרטי, איזה מידע יהיה לקריאה בלבד, האם מותר להעלות או להוריד מידע וכדומה.
ארגונים רבים בוחרים לחסום את הענן האישי באופן מלא ואחרים מתירים שימוש חופשי בו ושתי האפשרויות אינן טובות. חשוב לא להתעלם מהתופעה וגם לא לתת לה לצמוח בר מהשטח, אלא להכיר ולשלוט בה במסגרת מדיניות ארגונית.
לדברי תמיר חגי, מנהל חטיבת שירותים טכנולוגיים, אומניטק
שירותי כוננים אישיים וירטואלים בענן יוצרים מטרד אבטחת מידע מבחינת המנמ"רים. מנמ"רים משקיעים מאמצים ומשאבים רבים על מנת לשמור ולאבטח את שער הכניסה לארגון, ושירותים אלה מאפשרים כניסת מזיקים למיניהם מהדלת האחורית. בנוסף, הם מאפשרים זליגת קבצים ומידע רגיש החוצה. ארגונים אמנם נבדלים זה מזה במידת רגישות המידע, אך לכל ארגון חשוב שהמידע שלו, רגיש ככל שיהיה, לא ייחשף לגורמים לא מורשים. על כן, ככלל, ההמלצה הגורפת היא לחסום שירותים אלה. כפי שמרבית הארגונים חוסמים אפשרות לחיבור התקנים חיצוניים דוגמת דיסק און קי, גם כאן, נעילת שירותי כוננים אישיים וירטואלים, תחסום דרך פשוטה להוצאת מידע החוצה.
במקרה של ארגונים שבוחרים שלא לבצע חסימה כזאת, חשוב לכל הפחות לדאוג שמערכת אבטחת המידע תדע לסרוק את האתרים והתעבורה מהם בצורה כזו, שתמנע כניסת מזיקים סוסים טרויאניים ווירוסים. לארגונים שבכל זאת שוקלים לאשר פתרונות מסוג זה, מומלץ להתייעץ עם אנשי מקצוע בכדי לקבל מידע על כל הסכנות שהארגון עלול לעמוד בפניהן, במסגרת כל פתרון. מידע זה אינו תמיד גלוי ומפורסם. פתרונות אלו הם לרוב חינמיים, אך חשוב לקחת בחשבון גם את הסיכונים המגיעים איתם, ולא רק את החיסכון הפוטנציאלי בתקציב.
אלי פטל, ראש צוות תשתיות אבטחת מידע בקומסק אומר כי:
הבעייתיות בשירותי הענן האישי אינה מסתכמת רק בסיכונים לכניסת נוזקות ולדליפת מידע, אלא יש לכך היבטים נוספים. ראשית, עליך לסמוך על רמת האבטחה של השירות. אם כניסה לשירות מצריכה רק שם משתמש וסיסמא, אין אפשרות לכפות עליו אמצעי הזדהות נוסף כמו טוקן, גם אם אמצעי כזה מקובל בארגון. כיוון שמשתמשים רבים משתמשים בסיסמא זהה באתרים שונים, גם פריצה לאתר אחר, יכולה להביא, בסופו של דבר, לפריצה לחשבון המשתמש בשירות.
בעייתיות נוספת נוגעת לשמירת המידע - בעת מחיקת מידע משירות דוגמת דרופבוקס, אין ידיעה וביטחון מלאים שהמידע אכן נמחק ואינו שמור על השרתים או בגיבויים. לכך נוספת העובדה שמידת החשיפה בשימוש בשירותים אלה גבוהה יותר ומרחב התקיפה רחב יותר. בכדי להגיע למידע הארגוני, צריך לעבור כמה מעגלי הגנה, אך במקרה של שירותים אלה, יש רק מעגל אחד - האתר עצמו וצריך לסמוך על ההגנה שלהם.
ארגונים שמחליטים להשתמש בשירותים אלה למרות הסיכונים, צריכים לבצע ניטור ולהעביר את המידע דרך רכיבי הגנה, בכדי לוודא שמידע מסווג לא ייצא ושקוד מזיק לא ייכנס. צעד חשוב מאד הוא הסברה לעובדים והגדלת מודעותם לכך שמדובר על שירות חשוף. יש להנחותם שלא לשמור בו מידע רגיש, להחליף סיסמאות באופן קבוע ולבחור סיסמאות חזקות וייחודיות. מי שבוחר לאשר שימוש במייל מקוון, יכול להגביל את השימוש בו לכתיבה וקריאה, ללא יכולת להעלאת והורדת קבצים.
בשלב זה, המלצתו, היא לא לאפשר גישה לשירותי ענן ובוודאי לא ממחשבי הארגון הפעילים. אם מחליטים לאפשר גישה כזאת, מומלץ לעשות זאת ממחשבי גלישה או מחשבים חיצוניים, שלא יושב עליהם מידע ארגוני. בנוסף,מומלץ לא לאפשר לעובדים להתקין תוכנות בעצמם ולעבוד לפי רשימת אתרים מותרים - דבר שייתן מענה לכמות השירותים הקיימים ולהתחדשותם המתמדת.
למעוניינים, ניתן לקרוא עכשיו סיכום מנהלים מרוכז ומתומצת של התחקיר ? ההזדמנויות והבעיות בענן האישי
אשמח לקבל משוב והערות לנושא בדף הפייסבוק שלנו
קובי שפיבק
מרכז ומתמצת למנהלי מידע, מידע מקצועי ואמין, שהכי קריטי ודחוף להבין.
לחץ עכשיו ותקבל דוגמא חינם - איומים נסתרים ומסוכנים
קובי שפיבק Bsc., MBA הוא העורך הראשי של תחקירי pCon ואתר pCon-line. כמי שעוסק במחשבים, על מכלול היבטיהם משנת 1976 וכן כמי שכתב וערך למעלה משמונה מאות תחקירים על כל היבטי המחשוב העיקריים, הוא נמנה על אותם אנשים בודדים בארץ ובעולם, שבאמת ובתמים, מבינים לאן הולך עולם המחשוב ומהן השלכותיו המידיות והעתידיות, על אנשים וארגונים. הוא גם פרסם מספר רב של מאמרים במרבית העיתונים הגדולים והמקצועיים, והופיע פעמים רבות בערוצי הטלוויזיה והרדיו המרכזיים. נכון להיום הוא מייעץ למרבית מנהלי המחשוב בארגונים המובילים בישראל, והוא נחשב בעיני רבים, לגורו של המחשוב העסקי.
