Politika používání cloudu

Politika používání cloudu (P27) poskytuje jednotný, povinný standard pro zavádění, správu a řízení cloudových výpočetních služeb, zahrnující modely Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) a Software-as-a-Service (SaaS). Jejím cílem je zajistit, aby veškeré používání cloudových platforem v organizaci bylo bezpečné, v souladu s relevantními předpisy a podporovalo provozní efektivitu a inovace při ochraně důvěrnosti, integrity a dostupnosti informačních aktiv. Rozsah politiky je komplexní a vztahuje se na všechny zaměstnance, dodavatele, dodavatele třetích stran a konzultanty zapojené do jakéhokoli zřizování, konfigurace, administrace nebo používání cloudových služeb. Tento rozsah se vztahuje na nasazení veřejného, soukromého, hybridního a komunitního cloudu, pokrývá všechny klasifikace dat a výslovně zahrnuje jak interní prostředí, tak prostředí hostovaná dodavatelem, stejně jako prevenci shadow IT a používání osobního cloudu pro obchodní účely. Mezi klíčové cíle politiky patří: definování jasných pokynů a výchozích souborů bezpečnostních opatření pro zavádění cloudu, minimalizace provozních a regulačních rizik (např. chybné konfigurace, porušení zabezpečení dat a neoprávněný přístup) a nařízení robustních bezpečnostních a soukromí kontrol prostřednictvím smluvních povinností, průběžného posouzení a práv na audit pro všechny poskytovatele cloudu. Politika trvá na centrální údržbě registru cloudových služeb, pod dohledem ředitele informační bezpečnosti (CISO), který katalogizuje schválené poskytovatele, typy služeb, riziková hodnocení, vlastníky z obchodní strany a smluvní atributy, a podporuje tak řízení životního cyklu přístupů, důsledné řízení životního cyklu a průběžné monitorování souladu. Role a odpovědnosti jsou přesně vymezeny a přiřazují funkce řízení a dohledu napříč výkonným vedením, ředitelem informační bezpečnosti (CISO), architektem zabezpečení cloudu, provozem IT, pořizováním, právním a compliance, vlastníky dat a koncovými uživateli. Politika vynucuje přísná technická a procesní opatření: řízení identit a přístupů (IAM) (s povinným řízením přístupu na základě rolí (RBAC) a vícefaktorovou autentizací (MFA) pro administrátorské účty), bezpečnou konfiguraci, šifrování (s využitím standardů schválených NIST), požadavky na auditní protokolování a integraci cloudových služeb se systémy Security Information and Event Management (SIEM). Smlouvy s poskytovateli cloudu musí řešit práva na audit, oznamování porušení zabezpečení, vrácení/výmaz dat a průběžné monitorování souladu. Data lze do cloudu přenášet pouze po klasifikaci dat a přeshraniční přenosy musí být v souladu se zavedenými předpisy, jako je GDPR. Řízení rizik je klíčové: jakékoli odchylky vyžadují dokumentované výjimky, podrobné plány ošetření rizik, schválení ředitelem informační bezpečnosti (CISO) nebo architektem zabezpečení cloudu a víceúrovňový přezkum pro scénáře s vysokým rizikem. Průběžná správa a řízení je vynucována prostřednictvím pravidelného průběžného monitorování souladu, integrace reakce na incidenty (eskalované prostřednictvím politiky reakce na incidenty (P30)), každoročních přezkumů a průběžných aktualizací vyvolaných výsledky incidentů, migracemi nebo regulačními změnami. Porušení ustanovení politiky, jako je používání neoprávněné cloudové služby nebo zanedbání požadovaných opatření, spouští škálu důsledků od školení až po právní kroky nebo proces ukončení. Politika používání cloudu je provázána se souvisejícími politikami v oblasti bezpečnosti informací, řízení změn, klasifikace dat, kryptografických opatření, politiky protokolování a monitorování, reakce na incidenty a auditu, čímž dále posiluje svou roli autoritativního základu správy a řízení cloudu.