Download - Proiect Economic Securitatea În Cloud
-
8/17/2019 Proiect Economic Securitatea În Cloud
1/23
SECURITATEA INFORMAȚIEI Î N CLOUDCOMPUTING
Coordonator științific, Student,
Prof. univ. dr. Crăciun Alexandru-Ionuț
Munteanu Adrian
Iași
2015
-
8/17/2019 Proiect Economic Securitatea În Cloud
2/23
2 | P a g e
CuprinsPrefață ......................................................................................................................................... 3
1.Conceptul de Cloud Computing și securitate în Cloud ........................................................... 4
1.1 Conceptul de Cloud Computing ....................................................................................... 4
1.2 Tipuri de Cloud ................................................................................................................. 6
1.2.1 Modele de implementare ............................................................................................ 6
1.2.2 Tipuri de servicii ........................................................................................................ 7
1.3 Securitatea în Cloud Computing ....................................................................................... 8
1.3.1 Cele patru amenințari majore de securitate ................................................................ 9
1.4 Avantajele și dezavantajele serviciilor de cloud ............................................................. 10
1.4.1 Avantajele Cloud Computing-ului ........................................................................... 10
1.4.2 Dezavantajele Cloud Computing-ului ...................................................................... 12
2.IBM România SRL ................................................................................................................ 13
2.1. Scurt Istoric .................................................................................................................... 13
2.2 Situația economică ..................................................................................................... 14
3.De ce IBM Security Cloud Service?...................................................................................... 18
3.1 IBM Cloud security enforcer .......................................................................................... 18
3.2 Obiective principale de urmărit în implementarea securității SaaS ................................ 19
4. Tendințe în Cloud Computing ........................................................................................... 21
Bibliografie ............................................................................................................................... 23
-
8/17/2019 Proiect Economic Securitatea În Cloud
3/23
3 | P a g e
Prefață
Începând cu anul 2000, termenul de Cloud a stârnit foarte multe controverse. Chiar și înziua de astăzi , după 15 ani de existență , cloud-ul nu are o definiție clară. În urma documentării
in scopul redactării acestei teme , am realizat ca nu putem vorbi despre conceptul „In the Cloud”
făra a preciza clar dacă este sigur pentru noi din punctul de vedere a securității informațiilor
pentru a ne aventura in lumea Cloud-ului. Datorită acestor aspecte, îmi propun ca prin
informațiile prezentate in această lucrare să raspund la două întrebări esențiale : Ce este Cloud
Computing-ul și cum funcționează el? și Cât de sigur este să ne portăm informațiile in Cloud? .
În primul rând dacă ne amintim de revoluția industrială și impactul său asupra economieimondiale ne dăm seama că nu a avut loc peste noapte. Schimbările în urma industrializării au
putut fi observate în timp iar inovațiile aduse în lumea întreagă au venit in „valuri” așa cum îi
place lui Alvin Toffler să denumească etapele dezvoltării în cartea sa „The third wave”. De
asemenea, un alt exemplu concret este apariția Internetului. Conceptul de Internet ca și cel de
Cloud a fost adoptat în timp și pe parcursul mai multor etape evolutive. Cu toții suntem
familiarizați cu acest nou concept de Cloud sau poate doar am auzit de el dar nu știm exact ce
este cu adevărat. Așadar luând ca și repere revoluția industrială cât și apariția iternetului putemsă ne facem o idee despre faptul că aceasta nouă tehnololgie a Cloud-ului are un potențial uriaș
și poate deveni ,dacă nu a devenit deja , noua revoluție în era calculatoarelor.
În al doilea rând, problema capitală ce intervine atunci când este vorba despre aplicații
software în general sau serviciile electronice de care beneficiem este cea a siguranței folosirii
lor. Ținând cont de faptul că , astazi intimitatea fiecăruia dintre noi poate fi sau este expusă doar
prin simplul fapt că suntem conectați la internet, cum ne putem da seama dacă este bine și ce
se întamplă cu informațiile noastre în momentul în care alegem să facem pasul catre Cloud? Decâte ori ne-am întrebat ce se întamplă cu informațiile noastre personale odată ce n -eam lăsați
-
8/17/2019 Proiect Economic Securitatea În Cloud
4/23
4 | P a g e
expuși uzualului Internet? Ducând puțin ideea la un nivel mai inalt , securitatea datelor la nivel
de individ este asemănatoare in multe privințe cu securitatea datelor unei corporații ce ține
evidența tuturor documentelor într -un sistem informatic. Cloud computing-ul se prezintă a fi o
evoluție când vine vorba despre soluții pentru afaceri. Cum poate știi un director executiv , ce
este tentat să porteze afacerea sa in Cloud , dacă datele, atât de vitale pentru compania sa, suntîn siguranță dacă alege să facă pasul către noua tehnologie?
În concluzie , „Securitatea informațiilor în Cloud Computing” este o tema actuală ce
ridică destul de multe semne de întrebare. Este foarte important să înțelegem cum funcționează
lucrurile defapt și care sunt riscurile migrării către acest nou concept. Voi încerca să răspund
la întrebările de bază pe care, fiecare persoană interesată de acest subiect trebuie sa incerce să
le găseasca răspuns. Pe parcursul celor trei capitole doresc să lămuresc aceste aspecte și să
propun o idee corectă asupra a ce înseamna defapt tehnologia și modul de funcționare a CloudComputing-ului.
1.Conceptul de Cloud Computing și securitate în Cloud 1.1 Conceptul de Cloud Computing
Conceptul de Cloud se referă la totalitatea aplicațiilor și serviciilor ce sunt executate pe o
rețea distribuită folosind resurse virtualizate și accesate prin intermediul unor protocoale
comune de Internet și rețele standardizate. Acest concept se distinge prin ideea că resursele sunt
virtuale și nelimitate și că detaliile sistemelor fizice de pe software-ul care se execută sunt
captate de la utilizator.
În primul rând, pentru a defini mai bine acest concept, putem spune că se preiau
tehnologiile, aplicațiile si serviciile asemănătoare ce sunt deja existente pe Internet și le
transformă într -un utilitar ce funcționează pe principiul de „autoservire”. Cuvântul „CLOUD”sau „NOR”, în traducere liberă, face referire la două caracteristici esențiale :1
Abstractizarea: Cloud computing-ul abstractizează specificațiile unui sistem
de calcul de la utilizatori și de la dezvoltatori. Aplicațiile sunt rulate pe un sistem fizic
ce nu este definit, datele sunt stocate într -o locație ce nu este precizată , administratorii
de sistem nu au tangență unii cu alții iar accesul utilizatorilor este ambiguă.
1
-
8/17/2019 Proiect Economic Securitatea În Cloud
5/23
5 | P a g e
Virtualizarea: Clouding-ul virtualizează resursele prin străngerea lor într -un
singur loc și împărțirea lor la diferiți utilizatori în momentul în care este nevoie.
Sistemele și stocarea datelor sunt asigurate dintr -o infrastructură centralizată , costurile
sunt evaluate în funcție de o unitate de măsură , închirierea din partea mai multor
utilizatori în același timp este disponibilă iar resursele sunt scalabile cu rapiditate. În al doilea rând, multe persoane greșesc atunci când spun că, Cloud-ul este același lucru
cu Internetul numai că denumit altfel. Multe reprezentări grafice a sistemelor de operare și
serviciilor bazate pe Internet înfățișează aplicațiile ce ruleaza pe Internet ca și cum ar rula in
Cloud , astfel confuzia este lesne de înțeles și foarte ușor de făcut. Internetul are multe
caracteristici asemănătoare cu ceea ce definim astăzi ca și tehnologie de Cloud Computing. El
oferă abstractizare, funcționează utilizând același set de protocoale și standarde, și de asemenea
utilizeaza aceleași sisteme de operare și aplicații. De asemenea aceleași caracteristici sunt găsiteși în Intranet, o versiune internă a Internet-ului. Când o rețea de Intranet devine destul de mare
astfel încât nu se mai pot distinge cu exactitate sistemel fizice, Intranetul poate fi denumit și
Cloud.
De asemenea trebuie sa înțelegem ce înseamnă un serviciu Cloud. În general un astfel de
serviciu are cinci caracteristici principale:
1. Rapiditate: Acces larg în rețea.
2.
Accesibilitate: Autoservire după nevoie.
3. Virtualizare: Resurse utilizate în comun.
4. Scalabilitate:Elasticitate rapidă.
5. Contorizare: Serviciul măsurate.
Așadar, Cloud Computing-ul este o abstractizare bazată pe noțiunea de „înmagazinare de
resurse” ce sunt prezentate apoi ca și resurse virtuale. Este un nou mod de a asigura resurse, de
a etapiza aplicații și de a oferi utilizatorilor posibilitatea de a accesa platforme ce nu le dețin
fizic. Cloud-urile pot fi sub foarte multe forme și tipuri, iar serviciile și aplicațiile ce rulează în
cloud pot fi asigurate de către furnizorul de astfel de servicii sau nu. Aceste aspecte semnifică
faptul că este foarte important să definim sistemul de Cloud cu care dorim să operăm deoarece
există mai multe tipuri de Cloud în funție de tipul de serviciu furnizat sau modelul de
implementare.
-
8/17/2019 Proiect Economic Securitatea În Cloud
6/23
6 | P a g e
1.2 Tipuri de Cloud
Pentru a discuta mai pe larg despre Cloud , trebuie să cunoaștem și termenii specifici din
acest domeniu. Multe acronime din această zonă probabil nu vor „supraviețui” mult. Așadar
putem împărți după două moduri distincte:
1. Modul de implementare: Acest lucru se referă la locația și gestionarea
infrastructurii Cloud.
2.
Tipul de serviciu furnizat: Face referire la tipurile distincte de servicii ce
pot fi accesate pe o platforma de Cloud Computing.
Aceasta delimitare este una f oarte importantă și este acceptata în sens larg de toți
specialiștii din acest domeniu.
1.2.1 Modele de implementare
Conform Institutului Național de Standarde și Tehnologii , din Statele Unite ale Americii,
conceptul de Cloud se împarte cum am precizat anterior în cele doua categorii. Aceste categorii
și interconexiunile dintre ele sunt ilustrate în figura 1.1.
Tipuri și categorii de Cloud conform NIST
Figura1.1
-
8/17/2019 Proiect Economic Securitatea În Cloud
7/23
7 | P a g e
I. Cloud-ul de tip PRIVAT
Acest tip de infrastructură este furnizat pentru utilizarea exclusivă de o singură
organizaţie care cuprinde mai mulți consumatori (de ex., unităţi de afaceri). Poate fi
deţinut, controlat, şi operat de către organizaţie, o terţă parte sau o combinaţie a acestora,şi poate exista în interiorul sau în afara incintei.
II. Cloud-ul de tip COMUNITATE
Acest tip de infrastructură este furnizat pentru utilizarea exclusivă de către o
comunitate specifică de consumatori din organizaţii ce au puncte comune(de exemplu,
misiunea, cerinţele de securitate, politica). Poate fi deţinut, manageriat, şi operat de cătreuna sau mai multe organizaţii în Comunitate, un terţ, sau o combinaţie a acestora, şi
poate exista în interiorul sau în afara incintei.
III. Cloud-ul de tip PUBLIC
Acest tip de infrastructură este furnizat pentru utilizarea liberă a publicului larg.
Poate fi deţinut, controlat, şi operat de o organizaţie de afaceri, academie, guvern, sau o
combinaţie a acestora. Acesta se regăsește în general la firmele ce ofera servicii Cloud.
IV. Cloud-ul de tip HYBRID
Acest tip de infrastr uctură este o cobinație de două sau mai multe tipuri de Cloud
distincte prin infrastructură (privat, comunitate sau public) ce rămân entităţi unice, dar
sunt legate de tehnologia standardizată sau de proprietar, lucru care permite portabilitate
de date şi aplicaţii.
1.2.2 Tipuri de servicii
În funcție de modelul de implementare, tipurile de servicii se diferă prin
infrastructura în care au fost amplasate. Astfel ne putem gândi la Cloud ca și granița dintre
infrastructura clientului, controlul și responsabilitațile lui se termină și de unde încep facilitățile
oferite de furnizorii de soluții Cloud. Datorită gamei de servicii oferite se adauga un nou set de
termeni ce definesc tipurile de servicii. Exista o varietate de modele de servicii descrise de
-
8/17/2019 Proiect Economic Securitatea În Cloud
8/23
8 | P a g e
literatura de specialitate, modele ce îmbracă urmatoarea formă XaaS sau “ ca și
serviciu”. În final s-a convenit să se acepte universal urmatoarele trei tipuri de servicii:
I. Serviciul de tip Infrastructură (Iaas= Infrastructure as a Service)
Serviciul de tip infrastructură oferă mașini virtuale, spații de stocare virtuale,
infrastructură virtuală și alte facilități de acest tip pe care clienții le doresc. Distribuitorul de
servicii tip infrastructură controlează tot ce ține de acest aspect , în timp ce clientul este
responsabil de toate celelalte criterii ce țin de implementare. Acesta include sistemul de operare,
aplicațiile și alte interfețe prin care utilizatorii interacționează cu sistemul.
II. Serviciul de tip Platformă (Paas= Platform as a Service)
Serviciul de tip platforma oferă sisteme de operare, mașini virtuale, aplicații, structuri de
control, mediul de dezvoltare și structurile de control. Clientul poate implemeta aplicațiile sale
sau sa folosească aplicații concepute în limbaje de programare supor tate de catre furnizorul de
servicii de tip PaaS. Furnizorul deține controlul asupra infrastructurii Cloud, a sistemelor de
operare și de software-le acceptate. Utilizatorul este responsabil de instalarea și controlul
aplicațiilor ce au fost integrate în platformă.
III. Serviciul de tip Software (SaaS= Software as a Service)
Serviciul de tip software este un mediu complet de operare cu aplicații, instrumente
de control, și interfață pentru utilizatori. Conform acestui tip de serviciu , aplicația este
asigurată clientului printr-o interfață simplă (de obicei un browser web) , iar
responsabilitatea consumatorului este de a manageria datele sale și de asemenea
comportamentul utilizatorilor săi. Tot ce ține începând cu infrastructura și până la aplicații
este de datoria furnizorului de servicii Cloud să asigure buna funcționare. (Staff, 2012)
1.3 Securitatea în Cloud Computing
Securitatea este un element cheie atunci când vine vorba de adoptarea soluțiilor Cloud.
Riscurile reale și percepute de furnizarea, accesarea și controlul serviciilor Cloud Computing
pot încetini migrarea către astfel de soluții datorită faptului că se utilizează un acelși mediu de
către mai multi clienți. În mediul normal (fizic) separarea oferită de către infrastructura fizică presupune un anumit nivel de protecție a aplicațiilor și datelor. În cazul Cloud-ului
-
8/17/2019 Proiect Economic Securitatea În Cloud
9/23
9 | P a g e
infrastructura fizică nu mai există , așadar nici nivelul tradițional de securitate oferit de catre
partajarea clasică nu mai este același. Infrastructura Cloud este folosită în comun de mai mulți
clienți unde sunt de asemenea toate aplicațiile fiecăruia și ține locul infrastructurii fizice
indivduale. Cu toate că bariera fizică dintre aplicații a fost eliminată este foarte important să fie
conceput un nou set de reguli de securitate și soluții de același tip pentru a minimiza riscul potențialelor malware-uri să se răspândească în Cloud.
1.3.1 Cele patru amenințari majore de securitate
Cele patru amenințări majore de securitate și conformitate cand vine vorba de soluțiiCloud sunt:
I. Controlul
Cloud-ul crește de obicei dependența unei organizații de furnizorii de servicii Cloud.
Atunci când companiile externalizează o parte din infrastructura lor IT la furnizorii de servicii,
în mod clar renunță și la o bună parte din controlul asupra infrastructurii lor de procese și
informații, iar aceștia la rândul lor sunt obligați să își asume responsabilitatea pentru
confidențialitatea și conformitatea datelor companiei. Pe când intreprinderile trebuie să își dea
seama cum sunt folosite datele lor, cine ar e acces la acele informații, în ce condiții și sub ce
privilegii sunt întrunite toate normele de securitate pe care distribuitorul de servicii Cloud se
obligă să le respecte în momentul în care semnează contractul de furnizare a acestor servicii.
Altfel spus, abilitatea organizației beneficiare de servicii este de obicei una limitată deoarece
nu există unelte standardizate pentru a verifica dacă provider -ul de servicii respectă întocmai
contractul de confidențialitate.
II.
Colocatari zgomotoși sau vecini competitori
Cloud computing-ul ridică și alte provocări de securitate datorită faptului că mai mulți
clienți folosesc aceeași infrastructura și împart resursele în același timp pentru a le folosi pe
mașinile lor virtuale. Crearea de partiții sigure între mașinile virtuale “vecine” s-a dovedit a fi
o mare provocare pentru majoritatea provideri-lor de soluții Cloud. În aceste cazuri se poate
întampla ca un alt client ce are nevoie de mai multe resurse virtuale decăt sunt disponibile la
momentul respectiv, să folosească din resursele tale, astfel diminuând capacitatea de procesare
-
8/17/2019 Proiect Economic Securitatea În Cloud
10/23
10 | P a g e
a mașinii virtuale. De asemenea cei de la MIT au observat că se poate extrage date intentionat
prin injectarea cu un malware în astfel de cazuri de partiționare neadecvată.
III. Securitatea arhitecturii
Serviciile cloud sunt în general virtualizate, ceea ce adaugă un nou nivel de protecție peste
cel existent în cazul departamentului de securitate și mentenanță propriu. Este adevărat că acest
lucru duce spre o securitate mult mai riguroasă însa, creează noi porțiuni ce pot fi ținta unor
atacuri sau expuneri la noi riscuri. Organizațiile astfel trebuie să monitorizeze și să analizeze
oportunitățile sau riscurile unui astfel de serviciu de securitate și să fie capabilă săconcluzioneze dacă acele condiții de securitate din partea furnizorului de servicii sunt respectate
întocmai.
IV. Datele
Serviciile Cloud ridică problema accesului și a protecției pentru utilizatorii de date și
aplicații, incluzând aici și pe cei de cd sursa. Cine are acces la aceste date , și ce rămâne după
ce nu se mai folosește serviciul de Cloud? Cum pot fi protejate datele companiei față de
administratorii de cloud sau de către ceilalți colocatari? Criptarea informațiilor atât în momentul
accesării, a prelucrării cât și în momentul transmiterii devine astfel o regulă incontestabilă.
Această regulă sau cerință vine la rândul ei cu un anume cost de erformanță. Dacă se dorește cu
adevărat criptarea datelor în orice stadiu a prelucrării lor, cum se poate obține un mod eficient
și cât mai avantajos ca și preț. Nu în cele din urmă apare și problema distrugerii datelor. În acest
sens există standarde binedefinite despre cat timp poate fi salvate datele (după ce au fost șterse)
și cum se manevrează aceste “resturi”. Exemple de astfel de regulamente include: Sarbanes-
Oxley Act (SOX), Section 802 (7 ani) și dispoziția FACTA.
1.4 Avantajele și dezavantajele serviciilor de cloud 1.4.1 Avantajele Cloud Computing-ului
Definiția Cloud-ului dată de cei de la NIST descrisă anterior în acest capitol (referințăFigura1.1) a clasificat Cloud-ul după trei tipuri de servicii (SaaS, IaaS și PaaS) și în patrumoduri de implementare( pupblic, privat, comunitate și hybrid). Pe lânga această definiție și
-
8/17/2019 Proiect Economic Securitatea În Cloud
11/23
11 | P a g e
delimitare se adauga și cele 5 caracteristici de bază ce un sistem de acest tip trebuie să le ofere.Aceste caracteristici exemplifică perfect beneficiile utilizării serviciilor de Cloud.2
1) Accesibilitate: Autoservire după nevoie și acces larg în rețea.
Utilizatorul poate să își asigure capacitățile și funcționalitățile de calcul de careare nevoie, în mod unilateral, automat, fără a necesitaintervenție umană din parteafurnizorilor de servicii.
a. Se creează o identitate unică a utilizatorului pe platforma cloud. b. Accesul este securizat
c. Acces diferențiat în funcție de rol d.
Drepturi de activare/ dezactivare servicii, adăugare/ șstergere resurse,oricând utilizatorul are nevoie.
e. Fără restricții contractuale precum durată minimă a contractului sautaxe de terminare prematură.
2) Acces larg în rețea
Capabilitățile sunt disponibile prin intermediul rețelei și sunt accesibile prinmecanisme standard de pe orice fel de platforme și/sau terminale client.
a. Serviciul trebuie să asigure aceeași experiență de utilizare și aceleașifuncționalități
b.
Nu contează tipul de conectivitatec. Nu contează terminalul folosit d. Nu contează sistemul de operare
3)
Virtualizare
Furnizorul pune la dispoziția utilizatorilor un fond comun de resruse(procesoare, memorie, spațiu de stocare, bandă) fizice sau virtuale care pot fi alocate dinamic dupa nevoie, fără ca amplasamentul acestora să conteze.
4) Elasticitate rapidă
Capabilitățile pot fi alocate în mod elastic pentru a se adapta nevoilor în modrapid și de regulă, automat, percepția utilizatorului fiind că are oricând ladispoziție resurse nelimitate.
a. Este desființat conceptul de fizical replacement b. Clientul poate să se ocupe de dezvoltarea aplicației sale( spre exemplu)
accesând resrusele necesare oricând și oricâte. 5)
Contorizare
2 Peter Mell, Timothy Grance, Recommendations of the National Institute of Standards and Technology,
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf , Septembrie 2011, accesat la 30 Octombrie
2015.
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdfhttp://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdfhttp://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
-
8/17/2019 Proiect Economic Securitatea În Cloud
12/23
12 | P a g e
Sistemele cloud au capabilitatea de a controla și optimiza în mod automatresursele în funcție de tipul lor, utilizarea acestora putând fi monitorizată șiraportată catre utilizator și furnizor.
a. Furnizorul trebuie să contorizeze consumul pe fiecare resursă pe diferiteintervale de timp.
b.
Factura clientului va conține doar resursele efectiv consumate de cătreel.
c. Clientul poate monitoriza în timp real consumul de resurse . d. Are acces la funcții de raportare
1.4.2 Dezavantajele Cloud Computing-ului
În timp ce avantajele utilizării tehnologiei Cloud sunt numeroase, dezavantajele sunt
aproximativ la fel ca și număr. Ca regulă generala avantajele unui sitem de Cloud este maitentant pentru firmele mici și mijlocii decât pentru cele mari. Firmele de marime mare își
dezvoltă singure infrastructura deoarece nu totdeauna soluțiile cloud se pliază pe nevoile
cliențlor.
Atunci când se utilizează o aplicație în Cloud , se utilizeaza ceva ce uneori nu este ceea
ce se dorește pentru nevoia clientului. Altfel spus , dacă ne dorim să implementăm și să
personalizăm unele module din aplicație , nu întotdeauna este posibil. Așadar, este mult mai
avantajos ca și posibilitate de personalizare să se implementeze o aplicație software localăavând mult mai multe posibilități de modificare.
Toate aplicațiile din cloud suferă modificări de performanță intrinseci datorită
conectivitații WAN. Dacă în sistemul de Cloud , aplicațiile excelează la capitolul putere de
procesare, iar aplicația aleasă ca și soluție necesită ca datele procesate să fie transmise în
cantități masive, atunci Cloudu-ul nu poate suplini acest neajuns.
Un alt motiv de îngrijorare este cu siguranța pretecția datelor. Din moment ce datele au
ajuns în Cloud, furnizorul de servicii nu poate garanta 100% că datele sunt mereu în siguranță.
Aici se adaugă și amenințările inerente prezentate la punctul 1.3.1.
Nu în ultimul rând, în perioada actuală, cele mai multe organizații se confruntă cu
probleme de respectare a normelor de diferite tipuri. În SUA companiile trebuie să respecte
cerințele contabile Sarbanes-Oaxley Act; furnizorii de servicii medicale trebuie să se
conformeze regulilor impuse de HIPAA (Health Insurance Portability and Accountability Act)
iar firmele din Europa trebuie să țină neapărat cont de regulile U.E referitoare la piața comună.
Astfel dacă se contacteaza servicii Cloud ce se întind pe teritoriul a mai multor țări , este posibil
ca la un moment dat s-a se aplice legi diferite atăt pentru datele ce tranzitează prin Cloud și alt
set de reguli pentru datele ce sunt doar stocate. În mare parte , inconvenientul este că provider -
-
8/17/2019 Proiect Economic Securitatea În Cloud
13/23
13 | P a g e
ii de servicii cloud nu își asuma responsabilitatea aceasta fiind sarcina clientului de a face toate
demersurile pentru a se reglemeta la situația impusă de anumite entități.
2.IBM România SRL 2.1. Scurt Istoric
IBM acronim de la International Bussines Machines este de departe cea mai mare
companie de IT din lume privind încasările (92,723 milioane dolari în 2014) și de asemea își
păstrează locul de leader de mai bine de 50 de ani. Produsele celor de la IBM cuprind atât
componente hardware, software pentru o linie de servere destinate bussines-ului modern ,
servicii de stocare, microcipuri și nu în ultimul rând aplicații software.
La începutul anilor 60, IBM introduce pe piață un sistem de operare pentru destina
afacerilor ce urma sa devină un standard, și anume System/360. A fost conceput pentru a putea
fi compatibil cu toate programele ce urmau să apară în domeniul său de activitate. Un program
conceput să ruleze pe System/360 și anume OS/360 poate fi regăsit și astăzi în sistemul
principal de operare z/OS destinat servere-lor produse de cei de la IBM.
După un deceniu compania introduce pe piață terminalul IBM 3270. Compania de
asemenea a început sa pună presiune pe piața computerelor destinate afacerilor de mici
dimensiuni, coloșilor DEC și HP u sistemul sau System/3. La începutul anilor 80, IBM
realizează că noul computer personal de la Apple va revoluționa industria IT. Compania acontracarat această amenințare cu o serie de produse lansate din gama Personal Computer ce
vor deveni foarte repede standarde pentru organizațiile ce foloseau atunci sisteme informatizate
în afaceri. Acest lucru nu a făcut altceva decât sa atragă atenția unui alt competitor și anume
Microsoft ce tocmai se angajase în lupta pentru supremație pe piața computerelor personale.
Odată cu apariția internetului, IBM își canalizează atenția către piața serverelor, o
viziune absolut nouă la aceea vreme, și au reușit să stabilească standardele și pentru serviciile
de hosting, managementul site-urilor web și crearea propriilor sale servicii web. La sfârșitulanilor 2000, compania avea peste 316000 angajați. De asemenea tot atunci intră ca și jucător pe
piața bursei fiind listat la bursa din New York.
Compania IBM este cel mai important jucător pe piața IT din lumea întreagă , și de
asemenea cea mai inovativă. În ultimul deceniu IBM a înregistrat mai multe brevete pentru
invențiile sale tehnologice decât oricare altă companie de profil la nivel mondial. Ca lider IT ,
serviciile și soluțiile oferite acoperă o gama variata de domenii precum : servicii financiare,
sănătate, guvern, automobile, telecomunicații, educație. Diversitatea și domeniul vast pe care îl
acoperă portofoliul hardware, software, cercetare, finanțare și tehnologie ; diferențiază în mod
unic IBM e celelalte companii din domeniul IT. Aceasta companie continuă sa transforme
-
8/17/2019 Proiect Economic Securitatea În Cloud
14/23
14 | P a g e
procesele și funcțiile sale pentru a deveni un nou model de corporație numit Globally Integrated
Enterprise.
2.2 Situația economică
IBM România a luat naștere în anul 1995 luna noiembrie. Filiala din România este la
fel de pregătită să răspunda nevoilor unei baze extinse de clienți, având un număr mare de
profesioniști în sediile din București și Timișoara.
Compania are o situație financiară stabilă. Profitabilitatea operațională, cea netă precum și
indicatorii de bilanț indică o soliditate financiară fără riscuri pentru perioada următoare.
Așadar filiala din Romania nu face abatere de la susccesul pe plan mondial fiind lider de piața
în domeniul acitivităților de consultanță în tehnologia informației. Principalii competitori dințara noastră pentru cei de la IBM sunt Microsoft Romania SRL, Romsys SRL și Atos IT
solutions and service SRL.
În prezent IBM are cifră de afaceri de 645.559.195 RON fiind clasată astfel pe primul
loc în Romania după acest criteriu. În graficul ce urmează se poate observa diferențele majore
dintre IBM România și ceilalți competitori.
Figura 2.1 - Sursa: www.Risco.ro
645559195
194629302171087810 164913278
CATEGORY 1
Competiția pe piața din România
IBM ROMANIA Microsoft România Romsys SRL ATOS IT Solutions
http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/
-
8/17/2019 Proiect Economic Securitatea În Cloud
15/23
15 | P a g e
Din punct de vedere al profitului net situația este asemănătoare. Lider incontestabil
rămân cei de la IBM conform figurii 2.2 potrivit www.Risco.ro .
Figura 2.2- Sursa: www.Risco.ro
De asemenea și din punct de vedere al angajaților IBM este lider în România.
Figura 2.3 – Sursa: www.Risco.ro
55384565
20130495
6484367
32130817
RON
Profitul net
IBM Romania Microsoft Romania Romsys SRL ATOS IT Solutions
Angajați
IBM Romania 1817
Microsoft Romania 362
Romsys SRL 894
ATOS IT Solutions 109
0200400600800
100012001400160018002000
A X I S T I T L E
Nr. angajați
http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/http://www.risco.ro/
-
8/17/2019 Proiect Economic Securitatea În Cloud
16/23
16 | P a g e
În România sunt 2356 firme ce activează în această industrie. Dintre ele 1484 sunt firme
cu profit iar 872 au înregistrat pierderi conform Ministerului de Finanțe.
Indicatori de profitabilitate:
1. Marja Profitului Net=
X 100.
Din graficul de mai sus putem observa că Marja Profitului Net se încadrează in cea a industriei
din care face parte, iar firma prezintă același risc ca și aceasta. Pe termen mediu devine foarte
importantă tendința industriei si conjunctura macroeconomică.
2. Creșterea cifrei de afaceri= −
X 100.
17,92%
13,70%
11,67%
8,58%
2011 2012 2013 2014
Marja profitului net
7218449283178924
91354238
144030520
2011 2012 2013 2014
Creșterea cifrei de afaceri
IBM Romania
-
8/17/2019 Proiect Economic Securitatea În Cloud
17/23
17 | P a g e
Din graficul 2,1 observăm faptul că evoluția cifrei de afaceri este una constantă. Această
creștere este mai bună decât cea a industriei din care face parte. În acest sens firma reprezintă
un risc scăzut dar pe termen mediu trebuie să-și consolideze avantajul competițional câștigat.
3. Randamentul activelor și al capitalului
Randamentul activelor este semnificativ mai mare decât al industriei din care face parte.
IBM România reprezintă un risc foarte scăzut comparativ cu firmele competitoare și are
perspective solide de dezvoltare. În anul 2013 randamentul a fost de 98,47% pe când în anul
2014 de doar 137,65% față de ceilalți competitori.
De asemenea randamentul capitalurilor este superior mediei firmelor ce activează în
domeniul activităților de consultanță în tehnologia informației. Altfel spus cu un 62,23 procenteânregistrate în 2013 și 57,09% , firma prezintă un risc redus pe termen mediu reușind să
fructifice capitalurile proprii existente.
Indicatori de solvabilitate
1. Gradul total de îndatorare=
X100.
Gradul total de îndatorare este de 48,45% având 103625257 RON datorii pe termen scurt
.Firma are de recuperat pe termen lung suma de 3544180 lei neavând datorii pe termen lung.
Așadar nivelul datoriilor in total activ este mai mic decât media industriei din care face parte.Firma are capitaluri proprii care permit un bun echilibru financiar.
2.
Grad Acoperire Datorii=
X100.
Profitul din activitatea curentă a firmei acoperă foarte bine datoriile totale, iar IBM România
SRL are suficiente resurse financiarepentru rambursarea acestora. Indicatorul are valoarea de
55,37% ceea ce reprezintă faptul că se situează peste media pieței acesta fiind de 23,47%.
În concluzie analizând toți acești indicatori IBM România este cel mai important jucător pe
piața din țara noastră având un succes remarcabil pe plan financiar. De asemenea principalii
competitori nu par a pune foarte mari probleme firmei analizate. Încrederea investitorilor și a
clienților mulțumiți de serviciile IBM este catalizatorul acestei reprezentanțe deschise în
România.
-
8/17/2019 Proiect Economic Securitatea În Cloud
18/23
18 | P a g e
3.De ce IBM Security Cloud Service?
Pentru cei de la IBM , secur itatea este precum o călătorie nu o destinație finală.
Strategia de securitate cloud adoptată de către o organizație trebuie să se alinieze la
standardele de securitate interne ale companiei și trebuie să devină o extensie ainfrastructurii IT deja prezente. IBM are aproximativ 30000 de clienți de servicii Cloud
și 6000 profesioniști în securitate, pe lângă cele 10 centre operaționale de securitate
(Security Operational Center) amplasate la nivel global. Aceste centre au menirea de a
ajuta clienții să aleagă și să implementeze corect strategia de securitate pentru cloud-ul
lor. Soluțiile de securitate puse la dispoziție de către cei de la IBM protejează 270
milioane de utilizatori finali și monitorizează 20 miliarde de operațiuni în fiecare zi.
Soluțiile de securitate IBM beneficiază de tehnologii de contracarare a amenințărilor
dezvoltate de cei de la X-Force ca rezultat direct a analizei celor mai noi tipuri de
amenințări , observarea atenta a tendințelor și colectarea tuturor acestor date în una din
cele mai mari baze de date cu vulnerabilități din lume . Pe lângă acestea IBM Security
Cloud Service poate să ajute la planificarea, implementarea și management-ul
operațiunilor de securitate din cadrul Cloud-ului unei organizații, reducând astfel
necesitatea de a avea angajați în firmă experți care să dețină cunoștințele necesare și
resursele pentru a asigura securitatea în Cloud.3
3.1 IBM Cloud security enforcer
Primul pas în adoptarea unei strategii de protecție a Cloud-ului este nevoia de a
asigura protecția aplicațiilor ce fac parte din SaaS. Aceste aplicații sunt utilizate foarte
frecvent de către angajații întreprinderilor în scopul de a asigura finalizarea sarcinilor de
lucru conform postului ocupat. Utilizarea intensă și accesarea acestor aplicații de către
foarte mulți utilizatori explică prioritatea protecției serviciilor de tip Software as a
Service. Foarte rar întreprinderile au abilitatea de a implementa propriile strategii de
securitate pe infrastructura tradițională de internet pe care o posedă în companie și de
asemenea trebuie să ținem cont de faptul că fiecărei aplicații trebuie să i se găsească tipul
potrivit de protecție disponibil conform nivelului de integrare.
3 Secure cloud application usage with IBM Cloud Security Enforcer, http://www-01.ibm.com/common/ssi/cgi-
bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDF
accesat la data de 24 Decembrie 2015.
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDFhttp://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDFhttp://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDFhttp://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDFhttp://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDFhttp://www-01.ibm.com/common/ssi/cgi-bin/ssialias?subtype=SP&infotype=PM&htmlfid=WGS03064USEN&attachment=WGS03064USEN.PDF
-
8/17/2019 Proiect Economic Securitatea În Cloud
19/23
19 | P a g e
IBM deține produsul denumit IBM Cloud Security Enforcer ca și răspuns la cerințele
întreprinderilor pentru gestionarea si controlarea în bune condiții a serviciilor cloud. Această
soluție este una de tip Software as a Service și are menirea de a ajuta să se integreze si să se
utilizeze în cele mai sigure condiții serviciile cloud existente. Aceasta soluție propusa de cei de
la IBM ușurează munca partenerilor de afaceri atunci când vine vorba de accesul serviciilor încloud si pentru a implementa elemente de identificare si de gestionare a accesului in companie
, sistem ce adesea lipsește.
IBM Cloud Security Enforcer detectează aplicațiile din cloud ce sunt utilizate în
companii și de asemenea monitorizează cu strictețe modul în care sunt utilizate. De
asemenea are și funcție de control asupra lor.
Menține utilizatorii conectați în permanență la aplicațiile oficiale și facilitează accesarea
acestora printr-o interfață ușor de utilizat de tip catalog. Menține ridicat nivelul de securitate atunci când vine vorba despre amenințările din
Cloud și comportamentul necorespunzător din partea utilizatorilor datorită tehnologiei
IBM X-Force.
IBM Cloud Security Enforcer mai are și datoria de a ajuta compania să gestioneze
corespunzător utilizarea resurselor din cloud. Acest lucru poate fi măsurat în urma
vizualizării rapoartelor ce relevă date despre reducerea utilizării de resurse din partea
utilizatorilor neautorizați. (IBM, 2015)
3.2 Obiective principale de urmărit în implementarea securității SaaS
Pentru a putea să își implementeze și să își asigure securitatea cloud -ului , companiile
trebuie să determine mai întâi obiectivele de securitate. Cu toate că arhitecturile se schimbă
frecvent, principiile de securitate rămân aceleași. Organizațiile caută mereu să beneficieze de
confidențialitate , integritate, și disponibilitate oriunde și oricând atunci când vine vorba de
date. Așadar opțiunile pentru securitatea SaaS ce fac referire la nevoile enumerate anterior sunt
următoarele:
Descoperirea cererii de utilizare a SaaS
La nivel înalt, întreprinderile împart platforma Software as a Service în două: oficiale și
aprobate cele care nu sunt oficiale. Datorita acestui fapt aplicațiile care doresc a fi accesate și
nu sunt oficiale trebuie să fie descoperite și monitorizate pentru a se putea decide dacă se pot
accesa în siguranță sau nu. De aceea aceste aplicații neoficiale trebuie să fie identificate online.
-
8/17/2019 Proiect Economic Securitatea În Cloud
20/23
20 | P a g e
Asigurarea controlului total
Această opțiune este poate una dintre cele mai mari dificultăți ce o poate ridica
asigurarea securității în cloud. O arhitectură de securitate în cloud trebuie să poată deține
controlul asupra tuturor căilor de acces dintr -o întreprindere , de la utilizatorul cu drepturi
scăzute până la cei cu drepturi de administrare a resurselor în Cloud. Această opțiune se
poate implementa asigurând o combinație de utilizatori finali, proxy de rețea și nu în
ultimul rând monitorizare activă de tip API ( aplication programming interface). Înconcluzie soluțiile tradiționale de securitate și resursele oferite de tehnologia cloud
trebuie să fie configurate asemanător pentru a putea controla în totalitate treaficul din
rețea.
Autentificarea și atenționările privind accesarea
Utilizatorii care accesează aplicații oficiale trebuie să fie autentificați
corespunzător. Identitatea utilizatorului permite să se genereze politici de securitate ce se
pot aplica unui grup de useri sau în mod individual permițându-le acestora să acceseze
resursele disponibile in Cloud sau nu. Mai important este faptul că trebuie să existe un
model de avertizare privind accesul resurselor. Acest model trebuie să fie capabil să
depisteze și să avertizeze eventualele breșe sau accesări nepermise din partea utilizatorilor
din companie.
Monitorizarea activității și a conținutului accesat
Având stocate informațiile și aplicațiile în locul potrivit și având puse la punct
politicile de securitate și drepturile de utilizator , modelul de securitate este capabil să
înregistreze evenimente de la toți utilizatorii ce au cont de acces. Acest lucru poate să
genereze rapoarte despre activitatea prestată de fiecare angajat în parte și de asemenea ce
tip de date și ce conținut a accesat. Astfel se poate ține o evidență clară asupra a tot ce se
întâmplă cu datele din Cloud și de asemenea se pot depista și elimina amenințările interne.
Centralizarea managementului securității
În timp ce întreprinderile folosesc resursele cloud într -o manieră ad-hoc bazată pe
proiecte sau departamente specialiștii care se ocupa cu securitatea în cloud trebuie să
-
8/17/2019 Proiect Economic Securitatea În Cloud
21/23
21 | P a g e
gândească mai strategic. O soluție centralizată de obicei asigură costuri mai mici când vine
vorba des pre drepturile de proprietate decât soluțiile implementate pentru fiecare sector al
companiei în parte. Aici ne putem gândi și la costurile generate de perioada de instruire pentru
fiecare responsabil în parte. Altfel spus, posibilitatea de a asigura protecția aplicațiilor din cloud
prin intermediul politicilor de securitate asigura o gestionare mai buna a riscurilor. Acest lucru
este posibil deoarece politicile de securitate aplicate la nivel de platforma SaaS au ca si obiect
mai multe aplicații de la diferiți producători. În concluzie , o soluție centralizată și aplicata la
nivel de companie separat de ce pot oferii furnizorii de aplicații este mult mai eficientă deoarece
acoperă mult mai multe goluri decât pot acoperii furnizorii de servicii cloud sau care nu vor sa
le ofere. (Staff, 2012)
4. Tendințe în Cloud Computing
Soluțiile pentru afaceri în cloud vor înregistra o creștere medie anuală de 15-20% în
următorii ani, potențialul pieței fiind estimat la 200 de milioane de euro în 2018, potrivit Ymens.
Serviciile de tipul Software ca Serviciu (SaaS) au un potențial ridicat de creștere pe piața locală,
licențele în cloud urmând să reprezinte, conform datelor companiei de cercetare IDC, 15% din
totalul vânzărilor de soluții software din România în următorii patru ani.
Creșterea estimată a pieței de cloud din România este aliniată tendințelor și perspectivelor
de dezvoltare la nivel european. Soluțiile pentru afaceri în cloud de tip ERP (Enterprise ResoucePlanning), management de document și conținut, colaborare sau CRM (Customer Relationship
Management) înregistrează o creștere cuprinsă între 16% și 31% de la an la an în comparație
cu soluțiile tradiționale de IT, a căror evoluție este estimată la 3% pe an, potrivit datelor IDC
pentru Europa Centrală și de Est.
Email-ul este principala soluție de business utilizată în prezent în rândul IMM -urilor din
România (64,3%), urmată de soluții de facturare electronică (39,1%) și stocare de date (36,8%),
conform datelor publicate de Consiliul Național al Întreprinderilor Private Mici și Mijlocii dinRomânia în Carta Albă a IMM-urilor din 2015. Peste 26% din respondenți văd în utilizarea de
noi tehnologii oportunități de dezvoltare a afacerii iar avantajul plății unui abonament lunar
pentru soluțiile informatice, similar modelului cloud, a înregistrat o creștere semnificativă, de
la 5,16% în 2014 la 18,9% anul acesta. Conform experților, numărul aplicațiilor cloud va crește
de cel puțin 10 ori în următorii cinci ani și, dacă în prezent peste 60% din companiile enterprise
utilizează cloud într -o formă sau alta, în viitor inclusiv IMM-urile și instituțiile publice vor lua
în considerare cloud-ul, tot mai des, ca primă opțiune pentru informatizarea și eficientizareaactivității.
-
8/17/2019 Proiect Economic Securitatea În Cloud
22/23
22 | P a g e
Peste 25% dintre IMM-uri declară că folosesc deja o soluție de business pentru
gestionarea relației cu clienții (CRM) și 16,4% au implementat deja soluții pentru
planificarea resurselor companiei (ERP), conform unui studiu realizat de Ymens în prima
jumătate din 2015 în rândul a 359 de companii mici și mijlocii din România. Dintre
respondenți, peste 36,5% și-au manifestat interesul în direcția achiziționării unei soluții, iar30,6% sunt interesați de soluții ERP.
În prezent, securitatea datelor este principalul beneficiu al aplicațiilor informatice de afaceri
pentru 47,4% dintre companiile mici și mijlocii din România, conform datelor publicate în
Carta Albă a IMM-urilor din 2015, urmat de accesibilitatea datelor (42,2%) și colaborarea
facilă a echipei (28,6%).4
4 Luiza Sandu, Piata romaneasca de solutii cloud, estimata la 200 de milioane de euro in 2018 ,
http://www.marketwatch.ro/articol/14825/Piata_romaneasca_de_solutii_cloud_estimata_la_200_de_milioane_de
_euro_in_2018/ accesat la 01 Octombrie 2015
http://www.marketwatch.ro/articol/14825/Piata_romaneasca_de_solutii_cloud_estimata_la_200_de_milioane_de_euro_in_2018/http://www.marketwatch.ro/articol/14825/Piata_romaneasca_de_solutii_cloud_estimata_la_200_de_milioane_de_euro_in_2018/http://www.marketwatch.ro/articol/14825/Piata_romaneasca_de_solutii_cloud_estimata_la_200_de_milioane_de_euro_in_2018/http://www.marketwatch.ro/articol/14825/Piata_romaneasca_de_solutii_cloud_estimata_la_200_de_milioane_de_euro_in_2018/http://www.marketwatch.ro/articol/14825/Piata_romaneasca_de_solutii_cloud_estimata_la_200_de_milioane_de_euro_in_2018/
-
8/17/2019 Proiect Economic Securitatea În Cloud
23/23
BibliografieAxel Buecker, M. B. (2010). Introducing the IBM Security. RedPaper.
Bilant IBM 2014. (2015, Ianuarie 2). Retrieved from Ministerul finantelor Publice:
http://www.mfinante.gov.ro/infocodfiscal.html
Gendron, M. S. (2014). Bussines Intelligence and the CLoud. Wiley.
IBM. (2015). Cloud Computing Simplified:The toughts on Cloud Way. IBM Academy of
Technology.
InfoWorld. (2012). New monitoring architecture tackle more complex aplication.
InfoWorld Staff . (2013). The public cloud Megaguide. InfoWorld.
Ponemon Institute. (2015). Cost of Data Breach Study:Global Analysis. Ponemon Institute
LLC.
Rajkumar Buyya, C. V. (2013). Mastering Cloud Computing.
Risco.ro. (2015, Ianuarie 05). Risco.ro. Retrieved from www.Risco.ro: http://www.risco.ro
Spotlight, D. (2014, July). Info World modernizing enterprise IT. Preluat de pe Digital
Spotlight.
Staff, I. (2012). Cloud security - A new seurity era for Cloud Computing. Retrieved from
infoworld.com: http://www.infoworld.com/resources/15675/cloud-security/download-
the-cloud-security-deep-dive
Vasile, G. (2012). Cloud Computing- Catalog de soluții. Microsoft.
Vasile, G. (2014). Data Center -Servicii și infrastructură . București: MarketWatch.