Záloha dat není přežitkem ani v cloudu
Zálohování dat patří k činnostem, kterou mnozí z nás neprovádí nebo provádí špatně. Během své praxe jsem bohužel narazil na odstrašující případy. Zálohování dat v cloudu (fuj, toto slovo díky totálnímu marketingovému balastu nemám rád) nese určitá specifika. Pokud pominu otázku typu zda vůbec mít data uložená „kdesi“, tak bych se rád zaměřil na to, jak svá (vaše) data o něco více ochránit nebo uchránit:). Záloha dat respektive možnost zálohy je pouze jedna část nastíněného problému, nicméně mnohem důležitější je pak schopnost obnovy dat. Znáte možná tvrzení: Zálohují všichni, obnovují jen někteří?
Nevěřte nikomu, kdo vám tvrdí: data v cloudu jsou bezpečná, proč tedy otevírat otázku zálohování?
Ono to obecně není tak jednoduché. Použijte prosím tento článek jako inspiraci, jak se může řešit záloha dat. Nastíním pouze obecné řešení, a principy. Je však jen a jen na vás, jak s informací naložíte.
Záloha dat a malá statistika na úvod
Četnost odpovědí IT profesionálů na otázku, z jakého důvodu nezálohují svá data uložená u poskytovatele, v cloudu.
- věří, že data jsou zálohována poskytovatelem: 79%
- neznají řešení pro zálohování dat u poskytovatele: 33%
- nemají možnost data exportovat (myšleno ukládat na jiném místě): 19%
- data nejsou tak hodnotná s ohledem na náklady vzniklé zálohováním dat: 8%
- ostatní nespecifikované důvody: 8%
Zdroj dat: infografika společnosti backupify
Výsledek je dle mého názoru šokující. Upozorňuji, že se jedná o statistiku společnosti, která nabízející možnost zálohování dat. Zákonitě se vám vkrade do mysli, ona slavná věta pana Churchilla: Nevěřím žádné statistice, kterou jsem sám nezfalšoval. Další prezentovaný údaj však nachází konsenzus napříč různorodými statistikami.
- počet společností, která data v cloudu již někdy ztratila: 33,3%
Jak vidíte, již jedna třetina firem a společností má zkušenost se ztrátou dat. Opět upozorňuji, že se zde nehovoří o množství a následku resp. závažnosti takové ztráty dat na společnost.
Jaké jsou udávané důvody ztráty dat?
- chyba uživatele, smazání dat: 47%
- přepsání dat: 17%
- hacker, útočník: 13%
- ukončení služby: 10%
- přepsání dat jinou aplikací: 7%
- ztráta způsobená škodlivým kódem: 7%
Zdroj dat: infografika společnosti backupify
Pojďme si shrnout nejdůležitější, možná i nejzásadnější údaje. Platí, že jedna třetina firem a společností ukládajících resp. využívajících hostování dat u poskytovatele o svá data někdy již přišla (neřešíme zde závažnost, dopad ani rozsah takové ztráty). O data pak přišla nejčastěji z důvodu uživatelské chyby tj. z důvodu smazání nebo přepsání dat uživatelem. Data následně nebyli schopni obnovit, neboť věřili, že data obnoví poskytovatel. Prosím, pamatujte, že je čistě na vás, aby jste si ověřili resp. měli zajištěno smluvně, že poskytovatel vaše data zálohuje (ale také je schopen poskytnout proces – proceduru pro jejich obnovení). Nejednejte v čisté víře, že tak činí automaticky.
Co bych si měl rozmyslet, pokud chci řešit bezpečnost ve smyslu zálohy dat?
Opět jednáme v kontextu toho, že data hostujeme, chcete-li ukládáme u poskytovatele řešení. Nemyslím si, že musíme používat vysoce sofistikovaná řešení pro vyhodnocení situace. Ve většině případech si vystačíme s onou častí našeho těla jakou je mozek. Předkové tomuto procesu krásně říkali selský rozum.
V prvé řadě se zamyslete na tím, jak moc jsou pro vás vaše data důležitá. Jak moc vás bude mrzet jejich případná ztráta. Jaký dopad bude mít ona ztráta dat na vaše podnikání? Pokud jste přece jen více systematičtí, můžete použít např. metodu analýzy rizik, jak bude ukázáno dále.
Aby to nebylo tak jednoduché, je potřeba se zamyslet i nad tím, zda máme některá data více důležitá než ostatní. Obecně pak můžeme mluvit o klasifikaci dat. My pro zjednodušení vyjdeme z faktu, že všechna naše data jsou pro nás stejně důležitá.
Položme si také otázku, jaké prostředky věnujeme do ochrany dat. Vezměte v potaz základní pravidlo, které praví, že vynaložené prostředky na ochranu dat by neměly překročit cenu aktiva tj. dat která chceme chránit.
Jednoduchá analýza rizik
Analýza rizik musí mít definovaná pravidla a musí být opakovatelná, pro sadu parametrů, které se mohou v čase měnit. Pomůže nám určit míru rizika na základě pravděpodobnosti rizika (jak často riziko může nastat) a dopadu daného rizika (jakou vážnost, dopad to bude znamenat). Zde použitá metodika je formální a je zjednodušenou formou analýzy rizik. Důležité však pro nás bude nastavení pravidel a jejich striktní dodržovaní. Při ohodnocení rizik si nenalhávejme do vlastní kapsy. Jelikož se jedná o metodu subjektivní, může být přínosné přijmout názor dalších subjektů.
Jaká jsou rizika v našem zadání?
Můžeme pro jednoduchost jít cestou maximálního zjednodušení a říci si, naše riziko je: Ztráta dat. Nic víc, pořád je to lepší, než nic. Druhý pohled je, že půjdeme po jemnější linii hledání možných rizik. Můžeme pak použít rizika jako: ztráta dat z hlediska chyby uživatele a smazání dat, ztráta dat z hlediska přepsání dat atd. Jistě vás napadnou další a další rizika, která na vás tu či méně čekají.
Nastavení metodiky analýzy rizik
| ohodnocení rizika | pravděpodobnost rizika | dopad rizika |
|---|---|---|
| 1 | nepravděpodobné | bez následku |
| 2 | málo pravděpodobné | neznatelný až malý následek |
| 3 | pravděpodobné | střední následek |
| 4 | velmi pravděpodobné | vážný následek |
| 5 | jisté nebo skoro jisté | katastrofální až fatální následek |
Dále si stanovíme úroveň rizika jako matematický součin hodnot
úroveň rizika = pravděpodobnost * dopad
Pro grafické znázornění priority si pak nastavíme semafor, mám radost jak je vidět cleverity.cz jsou zcela na vaší straně. Stejně tak stanovení prahových úrovní je zcela ve vaší režii.
- nízká priorita = běžné riziko, dle vzorce úroveň rizika =< 6
- střední priorita = středně závažné riziko, dle vzorce úroveň rizika > 6 ale zároveň úroveň rizika <= 15
- vysoká priorita = velice závažné riziko, dle vzorce úroveň rizika > 15
Konstrukce analýzy rizik
Sestavíme si tabulku, kde v prvním sloupci zapisujeme námi detekovaná rizika. Dále bodujeme dle naší tabulky ohodnocení rizika pravděpodobnost rizika a dopad rizika. Úroveň rizika je matematický součin předchozích dvou hodnot. Prioritu můžeme znázornit v tabulkovém procesoru pomocí podmíněného formátování. Velkou pozornost věnujeme velice závažným rizikům. A jaká opatření můžeme přijmout? Rizika se dají akceptovat (neřešíme je), dají se přenést (např. formou pojištění, nebo služby), dají se eliminovat (pomocí technických, organizačních opatření), dají se zmírnit a takto můžeme postupovat dál a dál.
| Detekované riziko | Pravděpodobnost rizika | Dopad rizika | Úroveň rizika |
|---|---|---|---|
| ztráta dat | 4 | 4 | 16 |
| zcizení dat | 3 | 3 | 9 |
| nedostupnost konektivity | 2 | 1 | 2 |
| ukončení služby | 1 | 3 | 3 |
| přepsání dat | 3 | 4 | 12 |
| ztráta způsobená škodlivým kódem | 1 | 4 | 4 |
Příklady vyhodnocení analýzy rizik
Kritické riziko nám vychází ztráta dat. Je tomu proto, že pravděpodobnost rizika je hodně vysoká a stejně tak je vysoký dopad onoho rizika. Jak mohu eliminovat ono riziko? Ano, jsme zase na začátku. Eliminovat ho mohu například tím, že data začnu zálohovat, ale i pravidelně obnovovat (testovací obnovy, restore deník atd.). U vás však, můžou být hodnoty zcela odlišné, stejně tak jako přijaté řešení na eliminaci rizika.
Podívejme se na další riziko, podívejme se na zcizení dat. Dle naší tabulky, je pravděpodobnost rizika nižší. Dopad rizika na naše podnikání je však jaký? Data máme nejspíše stále dostupná, možná ani nevíme, že nám data někdo ukradl. Takže proč jsem si ohodnotil dopad rizika jako riziko se středním následkem? Může se stát, že se někdo doví o tom, že nám data zmizela. Co na to naší partneři, klienti? Myslíte si, že že nám zůstanou nadále nakloněni?
Jako poslední riziko zde vyhodnotíme riziko nedostupnosti konektivity. Můžeme stanovit, že např. nedostupnost konektivity akceptujeme. Nebo naopak, neakceptujeme, protože technické řešení které toto riziko eliminuje je velice prosté a finančně nenáročné. Takže máme náhradní řešení pro tyto dle naší tabulky méně četné případy.
V pokračování článku se dozvíme, jaké možnosti nám v dnešní době nabízí Google Apps, ale i jaké možnosti máme, pokud naše data přece jen chceme více chránit.
Podívejte se také na vzorový příklad našeho nastíněného řešení pomocí tabulek Google
One comment
Václav
29. 4. 2019 at 9:15
Data v cloudu sice jsou bezpečná, ale záleží na tom, zda u provozovatele cloudu je nastaveno zálohování. Je samozřejmě lepší se pojistit a dělat ty zálohy sám (zejména pokud vedete účetnictví v cloudu – např. /odebráno/)