Zoufalý boj vnitřního IT s SaaS je nepochopitelně na poli bezpečnosti

Poslední dobou se střetávám stále častěji s urputným bojem lidí z vnitřního IT s SaaS konceptem (nejen v diskuzích na Lupě). Jejich hlavní výtka je přitom jedna z těch, které rozhodně neodpovídají realitě, ale zase slušně živí mediální kolotoč založený na strachu. Ano, je to bezpečnost.

Podle různých průzkumů (např. Aberdeen Group takový dělal) se strach z bezpečnostních rizik SaaS neukazuje jako oprávněný a většina klientů SaaS říká, že bezpečnost je vyšší nebo stejná jako u interních systémů. Křik všemožných adminů je potom naprosto neoprávněný, ale z jejich pohledu se to může zdát jako správné hájení svých pozic.

Nemám sice žádným výzkumem potvrzeno, ale několikrát mi bylo řečeno, že pokud někdo bude chtít získat cizí data, tak si sežene neloajálního zaměstnance, který je dostane ven. Navíc tento zaměstnanec bude datům rozumět a bude schopen s nimi pracovat a dodat jim přidanou hodnotu. Smysl to dává, ale jak říkám, statistiku způsobů uniklých dat jsem nikdy neviděl.

Bohužel také zde těžko potvrditelný příběh říká, jak nejmenovaná česká továrna zjistila, že jeden z jejích zaměstnanců chodil 14 dní přes vrátnici s plnými taškami a pak dal výpověď. Ve firmě to zjistili poté, co se v Číně otevřela továrna na stejný produkt a daný zaměstnanec v ní měl 60% podíl. Zajímavé je, že tato továrna zrovna nedávno propustila desítky lidí.

Poučné také bylo slyšet na konferenci SiS 2008 přednášejícího z ASP Vema, který říkal, že jejich klienti nejenže jejich zabezpečení věří, ale navíc tvrdí, že bezpečnostní únik mezd není zas takové riziko směrem ven, ale především směrem dovnitř, kde znalost cizího platu vnese zlou krev mezi lidi. Mimo konkrétní podnik platy nikoho příliš nezajímají (tím se jinými slovy říká, že je opravdu dobré uvážit, co je ještě kritická informace a co již ne).

Poslední příběh se týká e-mailů. Nejmenovaná organizace má vlastní mail server a poskytuje k němu nějaké webové rozhraní. To je však zoufale špatné, takže se někteří uživatelé někdy kolem roku 2005 rozhodli zřídit si na Gmailu alternativní identitu, e-maily si nechávaly přeposílat a jako schránku využívali Gmail. Vnitřní IT o tom nevědělo a nevědomky pak zareagovalo na, podle nich, možnou bezpečnostní hrozbu a zakázalo automatický forward, protože firemní data, by se neměla dostat mimo firemní servery. Otázka samozřejmě zní, zda se takto opravdu zabrání bezpečnostním únikům a nebo pouze zaměstnancům zabrání pracovat? A druhá otázka následuje. Nabourá se někdo spíš do Gmailu nebo do serveru Franty z vnitřního IT? Ano, souhlasím, data je nutné chránit, ale ne za cenu paralyzování práce lidí.

Co mě na téhle posedlosti bezpečnosti u SaaS překvapuje nejvíc je, že nikdo neřeší problém customizací. Pokud zaútočí na toto místo, tak se opravdu velmi pravděpodobně trefili do slabého místa, ale bezpečnost jím není.

A ještě poslední poznámka na konec. Myslím, že ani jeden ze zaměstnanců vnitřního IT se nemusí bát při využití konceptu SaaS o svojí práci. Lidé v IT potřeba budou, ale budou stále více využívání k tomu, aby přinášely nějakou business výhodu IT pro svůj podnik. Je to stejné, jako píše Nicholas Carr v knize Big Switch. Když do každého domu díky elektrárnám dnešního typu (do té doby byly jakési elektrické huby a kolem nich sdružené továrny) přišla elektrika, tak hospodyňkám neubyla práce, ale zvýšily se nároky na kvalitu vykonávané práce. Již např. nestačilo vyklepat koberec jednou za měsíc, ale muselo se luxovat minimálně jednou týdně. Prostě se zvýšily běžné požadavky na řadu věcí, protože některé práce odpadly a jiné se zkrátily.

Tento článek byl vložen ve Monday, May 12th, 2008 v 8:00am a je v kategorii IT v podnicích.