Politika používání cloudu – SME

Politika používání cloudu P27S stanovuje komplexní, ale praktické požadavky pro řízení cloudových služeb v prostředí malých a středních podniků (SME). S ohledem na to, že SME často nemají plnohodnotná IT oddělení, je tato politika navržena s jasnými a zjednodušenými odpovědnostmi, například přiřazením klíčových rozhodnutí Generálnímu řediteli a poskytovateli IT nebo technické podpoře, namísto specializovaných rolí CISO nebo bezpečnostního operačního centra (SOC), a přitom zajišťuje silné sladění s rámci ISO/IEC 27001:2022, GDPR, NIS2 a DORA. Politika se vztahuje na všechny cloudové služby, bez ohledu na to, zda jsou bezplatné nebo placené, a pokrývá běžné podnikové aplikace, jako jsou platformy pro sdílení dokumentů, nástroje SaaS, videokonference, e-mail, zálohování a zákaznické platformy. Každý, kdo přistupuje k firemním datům, i prostřednictvím mobilu nebo tabletu, musí dodržovat tato pravidla, která vyžadují předchozí schválení všech cloudových služeb a výslovně zakazují používání osobních cloudových účtů pro firemní data, čímž předcházejí rizikům shadow IT. Musí být veden jasně definovaný registr cloudových služeb pro sledování každé autorizované platformy, odpovědné osoby, umístění dat, přístupová oprávnění a informace o podpoře. Bezpečnostní opatření jsou povinná: všechny cloudové platformy musí vynucovat vícefaktorovou autentizaci (MFA) pro uživatele i administrátory; používat silná, komplexní hesla; poskytovat auditní protokolování aktivit a omezení přístupu (např. seznamy povolených IP adres, pokud je k dispozici); a mít pravidelné revize sdíleného obsahu. Jakékoli porušení, například opomenuté zneaktivnění uživatele nebo veřejné sdílení citlivých dat, je klasifikováno jako incident informační bezpečnosti a podléhá nápravným opatřením, včetně odebrání přístupu, cíleného přeškolení uživatele nebo v případě potřeby právní reakce. Politika stanovuje přísné požadavky na politiku uchovávání údajů a zálohování a ukládá, aby kritická nebo regulovaná data byla pravidelně zálohována, uchovávána tak, aby splnila právní povinnosti nebo zákaznické povinnosti, a aby byla ověřena možnost exportu z cloudových platforem, aby se předešlo vendor lock-in. Smlouvy pro placené cloudové služby musí specifikovat ochranu údajů, oznamování porušení zabezpečení, vlastnictví dat a definovanou eskalaci. Soulad je monitorován minimálně dvakrát ročně kontrolami přístupu, hesel a stavu administrátorů a všechny výjimky z politik musí být formálně odůvodněny a schváleny Generálním ředitelem, včetně kompenzačních opatření a termínů pro odstranění. Přezkum a neustálé zlepšování jsou součástí: politika vyžaduje každoroční přezkum a také aktualizace po incidentech, zavedení nových platforem nebo regulačních změnách. Archivované záznamy jsou bezpečně uchovávány podle politiky uchovávání údajů, aby byla veškerá cloudová aktivita auditovatelná pro interní i externí (včetně ISO) požadavky. Díky svému zaměřenému rozsahu poskytuje tato politika SME robustní, ale zvládnutelnou strukturu pro řízení používání cloudu, která podporuje regulační soulad, řízení rizik a provozní kontinuitu.