Pilveteenuste kasutamise poliitika – VKE

P27S Pilveteenuste kasutamise poliitika kehtestab põhjalikud, kuid praktilised nõuded pilveteenuste haldamiseks väikese ja keskmise suurusega ettevõtte (VKE) keskkondades. Arvestades, et VKE-del puuduvad sageli täismahus IT-osakonnad, on see poliitika kavandatud selgete ja lihtsustatud vastutustega, näiteks määrates võtmeotsused tegevjuhile (GM) ning IT-teenuseosutajale või tehnilisele toele, mitte spetsialiseeritud infoturbejuhi või turbeoperatsioonide keskuse rollidele, säilitades samal ajal tugeva kooskõla ISO/IEC 27001:2022, GDPR, NIS2 ja DORA raamistikuga. Poliitika kehtib kõigile pilvepõhistele teenustele, nii tasuta kui tasulistele, hõlmates levinud ärirakendusi nagu dokumentide jagamise platvormid, SaaS-tööriistad, videokonverentsid, e-post, varundussüsteemid ja kliendiplatvormid. Igaüks, kes pääseb ligi ettevõtte andmetele, sh mobiili või tahvelarvuti kaudu, peab järgima neid reegleid, mis nõuavad kõigi pilveteenuste eelnevat heakskiitu ning keelavad täielikult isiklike pilvekontode kasutamise äriliste andmete jaoks, ennetades varjatud IT-riske. Selgelt määratletud pilveteenuste registrit tuleb pidada, et jälgida iga autoriseeritud platvormi, vastutavat isikut, andmete asukohta, juurdepääsuõigusi ja tugiteavet. Turvakontrollid on kohustuslikud: kõik pilveplatvormid peavad jõustama mitmefaktorilist autentimist (MFA) kasutajatele ja administraatoritele; kasutama tugevaid, keerukaid paroole; tagama auditilogimise ja juurdepääsu piirangud (nt lubatud nimekirjad IP-aadresside alusel, kui see on saadaval); ning tegema regulaarseid jagatud sisu ülevaatusi. Iga rikkumine, näiteks unustatud kasutaja keelamine või tundlike andmete avalik jagamine, klassifitseeritakse turbeintsidendina ning sellele rakendatakse parandusmeetmeid, sh juurdepääsuõiguste tühistamine, sihipärane ümberõpe või vajaduse korral õiguslik reageerimine. Poliitika seab ranged nõuded andmete säilitamisele ja varundamisele, juhendades, et ärikriitilised või reguleeritud andmed tuleb regulaarselt varundada, säilitada õiguslike kohustuste või kliendikohustuste täitmiseks ning pilveplatvormidelt andmete eksportimise võimekus tuleb kinnitada, et vältida tarnijasse lukustumist. Tasuliste pilveteenuste lepingud peavad määratlema andmekaitse, rikkumiste teavitamise, andmete omandiõiguse ja määratletud eskaleerimise. Vastavust jälgitakse vähemalt kaks korda aastas tehtavate kontrollidega juurdepääsu, paroolide ja administraatori staatuse osas ning kõik poliitika erandid peavad olema ametlikult põhjendatud ja tegevjuhi (GM) poolt heaks kiidetud, koos kompenseerivate kontrollimeetmete ja tähtaegadega lahendamiseks. Läbivaatamine ja pidev täiustamine on sisse ehitatud: poliitika nõuab iga-aastast läbivaatamist ning ajakohastamist pärast intsidente, uute platvormide kasutuselevõttu või regulatiivseid muudatusi. Arhiveeritud kirjeid säilitatakse turvaliselt vastavalt andmete säilitamise poliitikale, tagades, et kogu pilvetegevus on auditeeritav sise- ja välisnõuete (sh ISO) jaoks. Oma fokusseeritud käsitlusalaga annab see poliitika VKE-dele tugeva, kuid hallatava struktuuri pilveteenuste kasutamise juhtimiseks, võimaldades regulatiivset vastavust, riskijuhtimist ja operatiivset järjepidevust.