Politik for cloud-brug - SMV

P27S Politik for cloud-brug fastlægger omfattende, men praktiske krav til styring af cloud-tjenester i små og mellemstore virksomheder (SMV'er). Da SMV'er ofte ikke har fuldskala IT-afdelinger, er denne politik udformet med klare og strømlinede ansvarsområder, f.eks. ved at tildele centrale beslutninger til den administrerende leder og IT-leverandør eller teknisk support, frem for specialiserede roller som informationssikkerhedschef (CISO) eller sikkerhedsoperationscenter (SOC), samtidig med at der sikres stærk tilpasning til ISO/IEC 27001:2022, GDPR, NIS2 og DORA. Politikken gælder for alle cloud-baserede tjenester, uanset om de er gratis eller betalte, og dækker almindelige forretningsapplikationer som platforme til dokumentdeling, SaaS-værktøjer, videokonferencer, e-mail, systemer for sikkerhedskopiering og kundeplatforme. Alle, der tilgår virksomhedens data, også via mobil eller tablet, skal følge disse regler, som kræver forudgående godkendelse af alle cloud-tjenester og udtrykkeligt forbyder brug af personlige cloud-konti til forretningsdata, hvilket forebygger risici ved shadow IT. Et klart defineret Cloud Service Register skal vedligeholdes for at spore hver autoriseret platform, ansvarlig person, placering af data, adgangsrettigheder og supportoplysninger. Sikkerhedskontroller er obligatoriske: Alle cloud-platforme skal håndhæve flerfaktorautentificering (MFA) for brugere og administratorer, anvende stærke, komplekse adgangskoder, levere revisionslogning og adgangsbegrænsning (såsom tilladelseslister, hvor det er muligt) samt have regelmæssige gennemgange af delt indhold. Enhver overtrædelse, såsom glemt deaktivering af en bruger eller offentlig deling af følsomme data, klassificeres som en informationssikkerhedshændelse og er underlagt korrigerende handlinger, herunder tilbagekaldelse af adgang, målrettet genoptræning eller, om nødvendigt, juridisk respons. Politikken fastsætter strenge krav til dataopbevaring og sikkerhedskopiering og angiver, at forretningskritiske eller regulerede data skal sikkerhedskopieres regelmæssigt, opbevares for at opfylde retlige forpligtelser eller kundekrav, og at eksportmulighed fra cloud-platforme skal bekræftes for at undgå leverandørlåsning. Kontrakter for betalte cloud-tjenester skal specificere databeskyttelse, underretning om brud, dataejerskab og defineret eskalering. Overholdelse overvåges med mindst to gange årlige kontroller af adgang, adgangskode og administratorstatus, og alle undtagelser fra adgangskontrol skal begrundes formelt og godkendes af den administrerende leder, med kompenserende kontroller og forfaldsdatoer for afhjælpning. Gennemgang og løbende forbedring er indbygget: Politikken kræver en årlig gennemgang samt opdateringer efter hændelser, introduktion af nye platforme eller regulatoriske ændringer. Arkiverede registreringer opbevares sikkert i henhold til dataopbevaringspolitik, hvilket sikrer, at al cloud-aktivitet er revisionsbar for interne og eksterne (herunder ISO) krav. Med sit fokuserede omfang giver denne politik SMV'er en robust, men håndterbar struktur til styring af cloud-brug, der understøtter overholdelse af lovgivningen, risikostyring og driftskontinuitet.