Wskazany kierunek może być tak ogólny, że nie będzie wiązać się z żadnymi konkretnymi działaniami, jakie można podjąć w firmach – będzie krążyć gdzieś pomiędzy geopolityką, magicznymi kwadratami i konferencjami w Davos. Bądź wręcz odwrotnie, dotknie zagadnienia ważnego, ale jednak bardzo szczegółowego, czasem wręcz przyczynkowego, związanego z pojedynczym produktem. Spróbuję zatem przedstawić trzy tematy, a zadaniem czytelników będzie dopasowanie tego wyzwania do poziomu cyfryzacji w danym przedsiębiorstwie, uruchomionych procesów transformacyjnych i przekucie takiego wyzwania na wdrożenie. Na każdy mogę poświęcić kilka zdań, co czyni zadanie karkołomnym, ale zapraszam do pogłębionej dyskusji.

Koniec rozróżniania między chmurą a infrastrukturą własną

Nie będę mówił o chmurze, ona tu jest i będzie. Ekscytowanie się czy korzysta z niej 10 proc. przedsiębiorstw czy już 30 proc. jest nieistotne, bo jej uruchomienie w firmach można już zaliczyć do takich samych pewników jak śmierć i podatki. Co więcej, proste dotąd rozróżnienie „chmura czy nie chmura” przestaje być oczywiste. Nasze systemy firmowe będą rozciągać się od własnych urządzeń końcowych przez różne rozwiązania Edge, których lokalizacja i zarządzanie może być w innych rękach, dalej przez różne formy chmury prywatnej i hybrydowej aż do chmury publicznej. Zadaniem będzie stworzenie jednolitych systemów zarządzania, bezpieczeństwa i uwierzytelniania oraz klasyfikacji danych. Katalizatorem tych zmian będzie 5G, a obecność polskiego regionu Microsoftu wpisuje się idealnie w te przemiany. Nie warto zatem tworzyć „strategii chmurowych” czy zapisywać „dokumentacji wdrożeń chmurowych” – te same wymagania, zasady i reguły muszą obowiązywać w całym systemie.

Siły stają się nierówne

Cyberbezpieczeństwo to wyzwanie organizacyjne. Jeśli komuś wydaje się, że bezpieczeństwo zapewnią mu ustawy, rozporządzenia i dokumentacja – to ma rację, ale chodzi tylko o zapewnienie bezpieczeństwa pewnej części ciała tej osoby. Jeśli komuś wydaje się, że poprzez zainstalowanie sprzętu ostatniej generacji i wdrożenie najnowszego oprogramowania zapewni sobie bezpieczeństwo – to jest w błędzie, bo nawet mając nieograniczony budżet nie stworzy skutecznej bariery. Choćby dlatego, że obrońcy muszą zabezpieczać wszelkie wektory ataku, zaś atakujący – cierpliwi i sponsorowani czasem przez państwa – koncentrują się na jednej, wybranej podatności. Siły stają się nierówne. Skoro zatem to nie prawo i nie technika stanowi remedium, skoro nie mamy nieskończonych zasobów finansowych i osobowych to podniesienie odporności i bezpieczeństwa musi być związane ze zmianą organizacji. Wykorzystanie tego, co daje chmura obliczeniowa i obecne w niej mechanizmy oraz zespoły bezpieczeństwa to pierwszy krok. Kolejnym jest wdrożenie zasad, choćby takich jak „zero trust”. Jeśli sami nie zaczniemy tego stosować, to życie (patrz kolejne informacje o atakach) nas do tego przymusi…

Regulacje…    

Wprowadzone w 2018 r. RODO było tylko przygrywką do tego, co nas otacza dziś i co czeka nas w przyszłości. Kolejne twarde akty prawne i miękkie (tylko z nazwy) komunikaty i rekomendacje czynią wdrażanie informatyki także zadaniem od strony zapewniania zgodności. Sama chęć wykazania prawidłowości przetwarzania w zgodzie z RODO i NIS, ale także UKSC, PKE, DGA, DMA, DSA, DORA, NIS2, SCCO, KNF, kodeksami to za mało. Regulatorzy mają w swoich rękach możliwość karania i nie zawahają się z niej skorzystać. Zadaniem firm jest organizowanie heterogenicznych zespołów – prawników, compliance, bezpieczeństwa, IT, działów biznesowych – przygotowujących ostateczne rozwiązania. Tematyka zgodności już dawno przekroczyła zakres kompetencyjny pojedynczej grupy w organizacji. Chmura w tym przypadku będzie miała jedną cechę. W zakresie swojej odpowiedzialności dostawcy muszą zapewniać zgodność z wymaganiami, zarówno w dniu rozpoczęcia usługi, jak i przez cały okres jej wykorzystywania.

Jest jeszcze kilka innych tematów, ale jak mawiał Rudyard Kipling, to już zupełnie inna historia…

Opinia powstała na potrzeby inicjatywy #RokChmury.