Bezpieczne korzystanie z chmury przez biznes: jak lider IT może ustawić granice i dobre praktyki

Przez
Izabela Nowakowski
-
0
29
2.4/5 - (5 votes)

Po co firmie bezpieczna chmura i dlaczego to rola lidera IT

Chmura stała się dla biznesu czymś tak oczywistym jak firmowy e‑mail. Użytkownicy instalują aplikacje SaaS w kilka minut, logują się przez Google lub Microsoft, pracują z domu i z telefonu. Z perspektywy działów biznesowych to ogromne przyspieszenie: projekt rusza dziś, a nie po trzech miesiącach przetargu i wdrożenia lokalnego serwera.

Ten sam mechanizm, który daje szybkość, wprowadza jednak bardzo realne ryzyka. Gdy każdy zespół kupuje własne narzędzia, pojawia się chaos w danych, brak kontroli nad dostępami i rozmyta odpowiedzialność za bezpieczeństwo. W pewnym momencie ktoś zadaje proste pytanie: „Gdzie właściwie trzymamy dane klientów i kto ma do nich dostęp?”. Jeśli nie ma jasnej odpowiedzi – problem już istnieje.

Granica między „techniczną konfiguracją” a „odpowiedzialnością biznesową” przebiega właśnie tutaj. To lider IT (CIO, IT Manager, Head of IT, czasem CTO) jest osobą, która musi ustawić zasady gry. Nie tylko wybrać konkretną chmurę czy narzędzie, ale zdefiniować politykę korzystania z chmury w firmie: kto co może, jakie dane gdzie trafiają, jak wygląda akceptacja nowych usług i kto ponosi odpowiedzialność w razie incydentu.

Ryzyka, które realnie uderzają w biznes

Najczęściej powtarzają się cztery kategorie ryzyka, które powinien kontrolować lider IT:

  • Wyciek danych – plik z danymi klientów wrzucony na prywatny Dysk Google, udostępniony „każdemu z linkiem”; konto handlowca przejęte przez phishing; baza leadów w darmowym narzędziu bez sensownego zabezpieczenia.
  • Utrata dostępów – odejście kluczowego pracownika, który był „właścicielem” konta w krytycznym systemie SaaS; brak kopii konfiguracji; jedyny admin na urlopie, a trzeba natychmiast zablokować użytkownika.
  • Chaos narzędzi – kilka różnych narzędzi do zadań, trzy systemy CRM w różnych zespołach, dane rozproszone po dziesiątkach SaaS-ów; brak wspólnego widoku i powtarzanie pracy.
  • Kary regulacyjne i prawne – niespełnienie wymogów RODO, przechowywanie danych osobowych w chmurze spoza UE bez odpowiednich zabezpieczeń, brak umowy powierzenia danych, brak możliwości wywiązania się z obowiązków informacyjnych wobec klientów.

Dobrze ustawione zasady chmury nie są „hamulcem” dla biznesu. Bezpieczne korzystanie z chmury przez biznes działa najlepiej wtedy, gdy IT tworzy ramy i standardy, a zespoły mają w nich sporą swobodę. Zamiast zakazu „nie można używać nowych narzędzi” lepiej działa komunikat: „możesz użyć dowolnego narzędzia z tej listy, a jeśli potrzebujesz nowego – zgłoś to, mamy prostą ścieżkę akceptacji”.

Krótki przykład konfliktu interesów

Dział sprzedaży znajduje świetne narzędzie SaaS do follow-upów z klientami. Rejestracja trwa 2 minuty, koszt jest niski, wdrożenie błyskawiczne. Handlowiec podłącza służbową skrzynkę, importuje swoją bazę kontaktów, działa. Po kilku miesiącach firma chce zmienić proces sprzedaży i przenieść dane do oficjalnego CRM-a. Okazuje się, że:

  • Nie ma formalnej umowy z dostawcą SaaS, tylko akceptacja regulaminu przy rejestracji.
  • Dane klientów są w chmurze poza UE, bez jasnych zapisów o RODO.
  • Dostęp admina ma tylko jeden handlowiec, który właśnie odchodzi z firmy.

W efekcie lider IT musi „gasić pożar”: odzyskać dane, zabezpieczyć konta, sprawdzić zgodność z przepisami. Tymczasem wystarczyłby prosty proces: zgłoszenie potrzeby, szybka ocena narzędzia, założenie konta przez IT z firmową umową i centralnym zarządzaniem dostępami.

Co sprawdzić na start

  • Czy w firmie istnieje choć jedna spisana zasada korzystania z chmury (nawet krótka, jednokartkowa)?
  • Czy użytkownicy wiedzą, czy wolno im korzystać z prywatnych kont chmurowych (np. prywatny Dysk Google) do pracy?
  • Czy ktoś w firmie formalnie odpowiada za bezpieczeństwo danych w chmurze (nawet jeśli to część roli lidera IT)?

Diagnoza stanu wyjściowego: jak naprawdę korzystacie z chmury

Zanim pojawią się nowe zasady, trzeba zrozumieć, jak to wygląda dziś. W większości firm rzeczywisty obraz korzystania z chmury jest zupełnie inny niż ten, który lider IT ma w głowie. Zawsze istnieje kilka „niespodzianek”, czasem drobnych, czasem krytycznych.

Krok 1: Inwentaryzacja oficjalnych usług chmurowych

Pierwszym etapem jest lista oficjalnych usług chmurowych, za które IT lub zarząd bierze odpowiedzialność. W praktyce chodzi o:

  • pakiety biurowe w chmurze (Microsoft 365, Google Workspace),
  • oficjalny CRM SaaS,
  • system HR / płacowy w chmurze,
  • system do fakturowania i księgowości,
  • narzędzia do zarządzania projektami (Jira, Asana, itp.),
  • rozwiązania backupu online i archiwizacji poczty,
  • inne krytyczne aplikacje biznesowe działające jako SaaS lub IaaS.

Dla każdego systemu przygotuj prostą kartę informacji (nie musi być superformalna):

  • Właściciel biznesowy (kto odpowiada merytorycznie za wykorzystanie systemu).
  • Właściciel techniczny (kto w IT zarządza konfiguracją i dostępami).
  • Jakie dane są tam przechowywane (dane osobowe, dane finansowe, dokumenty wewnętrzne, itp.).
  • Skąd mamy licencje / umowę (kto ją podpisał, gdzie są dokumenty).
  • Jak wygląda backup i odzyskiwanie danych w chmurze (czy jest RPO/RTO, jaki plan na awarię).

Następnie określ krytyczność tych systemów. Prosty podział sprawdza się najlepiej:

  • Krytyczne – bez nich firma praktycznie staje (CRM, system fakturowania, główny system HR, poczta firmowa).
  • Średnie – mocno utrudniają pracę, ale biznes jakoś działa (narzędzia projektowe, helpdesk, narzędzia analityczne).
  • Niskie – narzędzia pomocnicze, które można tymczasowo zastąpić (np. dodatkowe aplikacje do notatek, drobne integracje).

Ta inwentaryzacja pokaże „oficjalny obraz” i pozwoli później skonfrontować go z tym, co wyjdzie przy shadow IT.

Krok 2: Wykrycie „ukrytej chmury” (shadow IT)

Shadow IT i nieautoryzowane aplikacje to wszystko, z czego korzystają pracownicy, a co nie przeszło formalnie przez IT. To nie zawsze jest coś złego – często to po prostu reakcja na zbyt wolne procesy decyzyjne. Dla lidera IT kluczowe jest, by ten obszar ujawnić i oddzielić to, co do zaakceptowania, od tego, co trzeba zablokować.

Jak szukać ukrytej chmury w praktyce

Sprawdzają się trzy proste metody:

  1. Rozmowy z zespołami – krótkie spotkania z liderami działów i wybranymi użytkownikami:
    • O jakich narzędziach wiesz, że używacie do pracy z danymi klientów?
    • Z jakich aplikacji korzystacie do komunikacji i współdzielenia plików (oprócz oficjalnych)?
    • Czy są jakieś narzędzia, za które płacicie służbową kartą, ale IT o tym nie wie?
  2. Analiza ruchu i logów – jeśli masz dostęp do logów z proxy, firewalla, systemu CASB lub narzędzia EDR, można z nich wyciągnąć listę najczęściej używanych domen SaaS. Patrz przede wszystkim na:
    • serwisy do współdzielenia plików (Dropbox, WeTransfer, Box, itp.),
    • komunikatory i narzędzia kolaboracyjne (Slack, Discord, prywatny WhatsApp Web),
    • aplikacje do zadań i projektów (Trello, ClickUp, różne notatniki chmurowe),
    • nieznane narzędzia CRM/marketing automation.
  3. Krótka ankieta wewnętrzna – prosty formularz z pytaniami:
    • Jakich narzędzi online używasz w pracy z danymi klientów?
    • Jakich chmurowych narzędzi używasz do przechowywania dokumentów służbowych?
    • Czy używasz prywatnych kont (Gmail, Dysk Google, Dropbox) do pracy?

Jeśli firma jest większa i masz rozbudowaną infrastrukturę, warto rozważyć CASB (Cloud Access Security Broker) lub funkcje „Cloud Discovery” w narzędziach bezpieczeństwa. Pomagają one automatycznie wykrywać aplikacje SaaS używane przez pracowników, klasyfikować je wg ryzyka i sugerować działania.

Ocena ryzyka dla znalezionych aplikacji

Gdy już masz listę „ukrytych” narzędzi, dla każdej aplikacji zrób szybką ocenę:

  • Jakie dane tam trafiają? (dane klientów, dane finansowe, dokumenty wewnętrzne, dane osobowe pracowników).
  • Kto ma dostęp do tych danych (tylko dany zespół, cały internet, każdy z linkiem)?
  • Czy dane są powiązane z kontem służbowym czy prywatnym?
  • Czy istnieje ryzyko, że przy odejściu pracownika stracisz kontrolę nad tymi danymi?

Najpierw zajmij się krytycznymi przypadkami: danymi klientów, finansami, dokumentami regulowanymi. Drobne narzędzia typu „to-do list” można zaplanować na później – chyba, że trzymają listę haseł w notatniku online.

Krok 3: Ocena dojrzałości zespołu i procesów

Bez zrozumienia, jak wygląda kultura pracy z chmurą, trudno będzie wprowadzić skuteczne zasady. Tu przydaje się krótka, szczera ocena dojrzałości.

Proste pytania o procesy

Sprawdź kilka kluczowych elementów:

  • Czy istnieje formalny proces akceptacji nowych usług chmurowych? (kto zgłasza, kto ocenia, kto akceptuje, w jakim czasie).
  • Kto decyduje o wyborze dostawcy chmury – czy włączony jest IT, prawnik, RODO, finanse?
  • Czy ktoś pilnuje umów i odnowień licencji (terminy, zakres usług, SLA, zapisów dot. danych)?
  • Czy istnieje procedura odejścia pracownika obejmująca wszystkie konta SaaS?
  • Czy firma ma regularne szkolenia bezpieczeństwa dla pracowników dotyczące chmury i danych?

Na tej podstawie można wstępnie określić dojrzałość:

PoziomCharakterystyka korzystania z chmury
NiskiBrak formalnych procesów, narzędzia wprowadzane ad hoc, brak pełnej listy usług, brak jasnych właścicieli.
ŚredniIstnieje lista głównych systemów, część procesów akceptacji, podstawowe szkolenia, ale dużo wyjątków i „skrótów”.
WysokiSpójna polityka, centralne zarządzanie tożsamością, jasne procedury, regularne audyty i przeglądy narzędzi.

Co sprawdzić po diagnozie

  • Czy wiesz, ile kont SaaS z danymi firmowymi istnieje poza oficjalną listą?
  • Czy potrafisz pokazać zarządowi prostą mapę: „tu są nasze główne dane w chmurze, tu są obszary niekontrolowane”?
  • Czy masz listę przynajmniej 5–10 narzędzi, którymi trzeba zająć się w pierwszej kolejności (ze względu na ryzyko)?

Ustawienie granic: polityka korzystania z chmury napisana ludzkim językiem

Po diagnozie czas na wyznaczenie jasnych granic. Kluczowe jest, aby polityka korzystania z chmury w firmie była zrozumiała dla zwykłego użytkownika. Jeśli dokument ma 20 stron, pełny prawniczego języka, i ląduje w intranecie, nikt go nie przeczyta. Lider IT potrzebuje wersji „dla ludzi”, którą można wyjaśnić w 5 minut na onboardingu.

Krok 1: Co wolno, czego nie wolno – zasady ogólne

Najważniejszy element to kilka prostych reguł, które odpowiadają na codzienne pytania pracownika:

  • Gdzie mogę trzymać dane klientów?
  • Czy mogę używać prywatnego Dysku Google / Dropboxa do pracy?
  • Jak mam pracować z domu, gdy korzystam z chmury?
  • Czy mogę sam założyć konto w nowej aplikacji SaaS?

Przykładowe zasady w prostym języku

Kilka przykładów, które dobrze się sprawdzają:

Przeczytaj również: