Nejdříve se podívejme na místo uložení dat – kromě extrémních případů se pravděpodobnost zneužití dat zavedeným cloudovým poskytovatelem blíží nule. Aby to platilo, je vhodné zvolit tržně etablovaný cloud s proaktivním přístupem k bezpečnosti a certifikacím. Základem je zavedené ISO 27001. Dalšími signály jsou například možnosti použít rozšířené bezpečnostní prvky, jako jsou certifikáty či dvoufaktorová autentizace.
Hlavním bezpečnostním problémem tedy není umístění dat, ale jejich dostupnost. Každý přístupový bod je brána, kterou musíme zabezpečit, a ta má dvě slabá místa: autentizaci a uživatele. Úspěšné technické útoky kradou uživatelské účty nebo kompromitují přístupové body – je to snadnější a hlavně se na to může přijít až podstatně později. U autentizace jde vývoj rychle kupředu, máme certifikáty, politiky hesel, dvoufaktorovou autentizaci, ověření koncových stanic a podobně. Tímto proaktivním přístupem se rizika snižují. Ale co uživatel?
Krásný příklad nechtěného úniku výplatních pásek managementu na internet byl způsoben snahou účetní dohnat práci doma o víkendu, kdy si část dat uložila na disk, který však její děti sdílely v komunitní P2P síti. Uživatel je posledním, a možná největším rizikem bezpečnosti dat v cloudu. Jednak přináší stejná rizika, jako u interních systémů – Kam data pošle? K čemu je použije? –, ale navíc nyní mohou uživatelé pracovat „odkudkoliv“, tedy z internetové kavárny, nezabezpečené Wi-Fi sítě či z počítače, který sdílejí se svými dětmi.