UNIVERZITET DONJA GORICA

Fakultet za informacione sisteme i tehnologije

Upravljanje rizicima
Seminarski rad

Student: Bojan Mijukovi

Broj indexa: 14/008

Smjer: Menadment informacionih sistema

Security As A Service - SecaaS

Informacija je valuta savremenog doba. Sve, bilo male ili velike kompanije
znaju da je veoma bitno sauvati informacije presudne za njihovo poslovanje.
Probijanje sigurnosti moe znaiti i gubitak posla. Loa reputacija, pravne
regulative i sudski sporovi, mogu firmu dovesti na vrata bankrota. Firme znaju
da je bitno zatititi informacije, i da to nije opcija, sada je to postalo potreba.
Meutim, kompanije moraju zatititi informacije tako da im to bude isplativo.
To znai izazov. Dakle, potrebno je osigurati informacije, implementirati
robustnu sigurnosnu praksu a u isto vrijeme i isplativu.
Mnoge kompanije su outsource-ovale odreene aplikacije i zadatke MSSP-ima
(Managed Security Service Providers). Nekome ko e za njih da odrauje
odreene zadatke. Tu se javlja SecaaS Security As A Service. SecaaS model
sadri sve karakteristike cloud computing-a. SecaaS predstavlja budunost u
zatiti informacija. SecaaS se moe dostavljati upotrebom Software as a
Service (SaaS), Platform as a Service (PaaS) ili Infrastructure as a Service
(IaaS), zavisno od nivoa zatite koji je kompanija obezbjedila.
Neke od usluga koje nudi SecaaS:

IAM Identity and access management

Email security
Antivirus and anti-malware/spyware
Intrusion management (detection and prevention)
Firewall integration and management
Encryption
Integrity monitoring
Web site security and Secure Sockets Layer (SSL) certificates
Data loss management
Network security
Business continuity and disaster recovery
Security assessments
Internet traffic filtering

Pojedini analitiari smatraju da je najvea korist SecaaS-a ekonomska.

Dodue, to je diskutabilno, obzirom da ivimo u svijetu gdje se iz dana u dan

prijetnje razvijaju i postaju kompleksnije. Najvea prednost SecaaS-a je

adaptivnost na te prijetnje i mogunost da koristi najsavremenije tehnologije
kako bi te prijetnje savladala. Dodatno, velike kapitalne investicije i specijalne
vjetine nijesu potrebne kako bi se upravljalo nekim sigunosnim rjeenjima
koje nude SecaaS vendori. Upravo zbog toga su ta rjeenja prihvatljiva za sve
vrste i veliine biznisa.
Potreba za sigurnijim informacijama na raznim podruijima i u raznim
sektorima raste. Dolo je vrijeme kada jaku sigurnostnu infrastrukturu
nemaju samo mone korporacije. SecaaS omoguava i manjim igraima
takmienje na tritu. Novi nain upravljanja i dostavljanja usluga privlai
nove klijente. Sa manje barijera firme ulaze na trite i postaju ravnopravne,
time se konkurencija jaa, a samim tim i trite. Ovdje se vidi zanaj SecaaSa. Upravo zbog toga SecaaS vendori moraju da budu kvalitetne i pouzdane
kompanije. Transparentnost takoe igra bitnu ulogu. Kompanije se mogu
osjeati nesigurno iz razloga to im usluge pruaju kompanije koje nude
jeftine usluge a nijesu njigovo vlasnitvo. Pored toga, javljaju se i problemi u
odnosima sigurnosti informaicija i vladinih regulacija. Pa se postavljaju
sljedea pitanja:

Ko je odgovoran za sigurnost ega?

Ko ima pristu kojim podacima?
Gdje se bitni podaci uvaju i da li im se moe pristupiti?
Koje su procedure za unitavanje i arhiviranje?
Kako popularnost SecaaS-a raste, da li e se pojavljivati nove regulacije

u skladu sa novonastalim problemima?

Itd.

Sa ili bez SecaaS-a, kompanija ostaje odgovorna za sve svoje osjetljive

podatke. To zakoni i regulacije podravaju. Dakle, kompanija mora da zna koje
su to informacije bitne za organizaciju, njihove klijente i vlasnike i rizik koji ide
uz njih. Bez odgovora na ovo, kompanije ne moe tano znati kakva zatita
njoj treba i ta treba zatititi. Kompanije uglavnom prelaze na SecaaS zbog
nedostatka strunog kadra za IT sigurnost, cijene i odreenih regulacija.
Ekonomski benefiti koje nosi prelazak na SecaaS su:
Cijena Kompanija plaa samo one usluge i resurse koje koristi i kad ih
koristi. Mogue je gotovo odmah poveati ili smanjiti resurse, zavisno od

situacije i potrebe resursa. Ovo je razlog smanjenja potrebnog prostora,

komunalija i odravanja.
Upravljanje i operativnost SecaaS provajder je odgovoran za
menadzment i operativnost hardware-a i software-a koji se koristi za
dostavljanje usluga firmama. Koristei web konzolu firma saznaje o incidentu i
task usmjerava na SecaaS-u . Na taj nain firma eliminie potrebu za
angaovanjem IT resursa i njegovog menadmenta.
Fokus na sutinske kompetentnosti Kompanija moe da se fokusira na
primarnu djelatnost, i sve aktivnosti koje joj donose profit, sigurnosne taskove
povjerava SecaaS-u.
Skalabilnost SecaaS brzo odgovara zahtjevima i potrebama kompanija.
Najbolje od vrste SecaaS omoguava
najnaprednije usluge za sigurnost informacija.

klijentima

najmodernije

Ekspertiza SecaaS omoguava kompanijama veu ekspertizu. Jer sve

kompanije nemaju struni kadar kada je u pitanju sigurnost informacija.
Autimatizovani update-i - SecaaS omoguava konsantne automatizovane
update-e. (bilo da je rije o aplikacijama ili infrastrukturi).
Ako kompanija eli da angauje SecaaS provajdera, ona mora da rauna na to
da SecaaS posjeduje odreene modele i rjeenja koja moe da ponudi, ali ne
mora da znai da moe da ponudi sva rjeenja koja su jednoj kompaniji
potrebna. Kako bi se odreene nedoumice razjasnile kompanija mora da zna
ta je njena odgovornost a ta SecaaS provajdera, zbog toga mora da se
upozna sa sljedeim injenicama.
SecaaS usluge se uglavnom dostavljaju putem SaaS, PaaS ili IaaS modela. To
zavisi od sloja koji treba da bude zatien. Svaki nain dostavljanja nudi
razliite stvari. Npr., sve to SecaaS nudi putem SaaS modela se uva na
Cloud-u. U PaaS-u kompanija ima vie kontrole nad platformama i njihovim
konfiguracijama. Dok u IaaS modelu, kompanija ima jo veu kontrolu, to
moe biti i tetan faktor.
Kada je rije o povjerljivim podacima, kompanija mora da bude svjestna da
svi podaci mogu biti sauvani samo ako se potuju odreena pravila. SecaaS
provajderi su uglavnom prilino profesionalni kada je rije o uvanju

podataka. Razlog je to to im je uvanje podataka primarna aktivnost. To

naravno ne znai da kompanija moe da se opusti i da ne razmilja o tome
kako upravlja sa podacima. Kompanija je ta koja e da bira nain zatite, zbog
toga treba da se posveti tome kao da SecaaS ne postoji.
Uvoenje SecaaS-a sa sobom donosi i rizik koji mnogo vie od upravljanja
sigurnosnim uslugama u firminim data centrima. Mnoge firme nemaju struni
kadar i ekspertizu za efenktivno upravljanje pomenutim uslugama, tako da je
jedino rjeenje da u cjelini preu na SecaaS-ov paket zatite. Rizik ne
posjedovanja totalne zatite je vei od rizika koji moe nastati upravljanjem
SecaaS-a.

Opte poznate strategije upravljanja rizika su:

Prihvatanje Prihvatanje rizika je nekad bolje od pokuaja smanjenja.

Razlog je to je cijena izbjegavanja prevelika i nije vrijedna investicije.

Smanjenje Postavljanje odreenih kontrola koje e dovesti do

smanjenja ili limitiranja rizika. Ovo bi smanjilo rizik do te granice da
postaje prihvatljiv za kompaniju.

Izbjegavanje Djelovanje u cilju izbjegavanja rizika. To djelovanje

treba da bude u skladu sa risk politikom definisanom od strane
kompanije.

Transfer Prebacanje rizika na treu stranu (pr. osiguravajue

drutvo). Ovo je takoe jedna od strategija izbjegavanja.

Upravljanje rizikom je sloen proces upravljana. Kompanija svojim internim

dokumentima odreuje nain na koji e se postupati sa rizikom, kako e se
kontrolisati rizik i prihvatati ili izbjegavati. Preko svakodnevnih akcija
uoavanja, upravljanja i pregledanja operacionih IT rizika kompanija moe da
kreira osnovicu rizika. Ovakav pristup se ogleda u ISO/IEC 27001:2005
standardu. Koncept Plan/Do/Check/Act se koristi u veini standardnih
metodologija upravljanja rizikom (ukljuujui i COBIT 5).
Glavna ideja je da je rizik poslednja i neprenosiva odgovornost svake
kompanije, bilo da koristi SecaaS ili ne.

Postojee fizike, administrativne i tehnoloke kontrole u kompaniji e se

morati uskladiti sa onima SecaaS provajdera.
Mnogi menaderi i direktori su vie nego spremni da koriste usluge preko
cloud-a. Najvie zbog lakoe sprovoenja, upravljanja zbog njihove
rastereenosti kao i zbog jednostavnosti. Iako su ove stvari tane i realne,
one takoe mogu da uzrok raznih nevolja, pa na kraju krajeva i ogromnih
trokova. Korisnici uglavnom biraju jednostavnost u odnosu na sigurnost, i
tako se dobija neki rizik koji je teko kontrolisati. Koristei cloud servise
zaposleni jedne kompanije se mogu prijaviti sa bilo kojeg mjesta na cloud na
kojem se nalaze podaci, naravno, koristei svoje login informacije. Meutim,
kako se moe pristupiti i van kompanije, sa privatnih raunara i privatnih ili
javnih mrea, podaci mogu lako biti kompromitovani (sluajno ili namjerno).
Zbog ovoga je potrebno da ISMS neke kompanije ima definisane politike,
procedure i kontrole.
Angaujui SecaaS kompanije mogu implementirati kontrole raznih tipova
(tehnike, administrativne, tehnoloke) kako bi zatitile povjerljivost,
integritet, dostupnost i autentinost. Kao to je i ranije pomenuto, kada
se radi o podjeli odgovornosti, SecaaS provajder je odgovoran za operacioni
dio. SecaaS se uglavnom fokusira na dostupnost, privatnost, zatita
podataka, lokaciju i saglasnost.
Brza ekspanzija u zahtjevanju usluga sigurnosti podigla je cloud servise na
vii nivo. Tradicionalne metode zatite gube na popularnosti i ne stiu da idu
u korak sa potrebama savremenih kompanijama. Dok sa druge strane SecaaS
provajderi obeavaju alate koji e obezbjediti potrebnu bezbjednost i u isto
vrijeme smanjiti trokove i resurse potrebne za tu bezbjednost. Na taj nani,
kompanije uspjevaju da uvaju svoje podatke i dobijaju odrivu vrijednost od
SecaaS-a.