Politika korištenja oblaka – SME

Politika korištenja oblaka P27S uspostavlja sveobuhvatne, ali praktične zahtjeve za upravljanje uslugama u oblaku u okruženjima malih i srednjih poduzeća (SME). Uvažavajući da SME često nemaju IT odjele punog opsega, ova je politika osmišljena s jasnim i pojednostavljenim odgovornostima, poput dodjele ključnih odluka glavnom izvršnom direktoru (GM) i IT pružatelju usluga ili tehničkoj podršci, umjesto specijaliziranih uloga kao što su glavni službenik za informacijsku sigurnost (CISO) ili Centar za sigurnosne operacije (SOC), uz snažno usklađivanje s okvirima ISO/IEC 27001:2022, GDPR-om, NIS2 i DORA-om. Politika se primjenjuje na sve usluge temeljene na oblaku, bilo besplatne ili plaćene, uključujući uobičajene poslovne aplikacije poput platformi za dijeljenje dokumenata, SaaS alata, videokonferencija, e-pošte, sustava za sigurnosno kopiranje i korisničkih platformi. Svatko tko pristupa podacima tvrtke, uključujući putem mobilnog uređaja ili tableta, mora slijediti ova pravila, koja zahtijevaju prethodno odobrenje za sve usluge u oblaku i izričito zabranjuju uporabu osobnih računa u oblaku za poslovne podatke, čime se sprječavaju rizici shadow IT-a. Mora se održavati jasno definiran registar usluga u oblaku kako bi se pratila svaka ovlaštena platforma, odgovorna osoba, lokacija podataka, prava pristupa i informacije o podršci. Sigurnosne kontrole su obvezne: sve platforme u oblaku moraju provoditi višefaktorsku autentifikaciju (MFA) za korisnike i administratore; koristiti snažne, složene lozinke; osigurati revizijsko bilježenje aktivnosti i ograničavanje pristupa (npr. popisi dopuštenih IP adresa gdje je dostupno); te provoditi redovite preglede dijeljenog sadržaja. Svako kršenje, poput zaboravljenog ukidanja pristupa korisniku ili javnog dijeljenja povjerljivih podataka, klasificira se kao incident informacijske sigurnosti i podliježe korektivnim radnjama, uključujući opoziv pristupa, ciljano ponovno osposobljavanje korisnika ili, prema potrebi, pravni odgovor. Politika postavlja stroge zahtjeve za politiku zadržavanja podataka i sustave za sigurnosno kopiranje, uz uputu da se poslovno kritični ili regulirani podaci moraju redovito sigurnosno kopirati, zadržavati radi ispunjavanja pravnih obveza ili obveza prema kupcima te da se mora potvrditi mogućnost izvoza s platformi u oblaku kako bi se izbjeglo vezivanje uz dobavljača. Ugovori za plaćene usluge u oblaku moraju specificirati zaštitu podataka, rokove za obavješćivanje o povredi podataka, vlasništvo nad podacima i definiranu eskalaciju. Usklađenost se prati najmanje dvaput godišnje provjerama pristupa, lozinki i administratorskog statusa, a sve iznimke od politike moraju biti formalno obrazložene i odobrene od strane glavnog izvršnog direktora (GM), uz kompenzacijske kontrole i krajnje rokove za rješavanje. Pregled i kontinuirano poboljšanje ugrađeni su: politika zahtijeva godišnji pregled, kao i ažuriranja nakon incidenata, uvođenja novih platformi ili regulatornih promjena. Arhivirani zapisi zadržavaju se sigurno u skladu s politikom zadržavanja podataka, čime se osigurava da su sve aktivnosti u oblaku revizibilne za interne i eksterne (uključujući ISO) zahtjeve. S fokusiranim opsegom, ova politika SME-ovima pruža robustan, ali upravljiv okvir za upravljanje korištenjem oblaka, omogućujući usklađenost s propisima, upravljanje rizicima i operativni kontinuitet.