Politika korištenja oblaka

Politika korištenja oblaka (P27) pruža jedinstveni, obvezni standard za usvajanje, upravljanje i upravljanje uslugama računalstva u oblaku, obuhvaćajući modele Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) i Software-as-a-Service (SaaS). Cilj joj je osigurati da je svako organizacijsko korištenje platformi u oblaku sigurno, usklađeno s relevantnim propisima te da podržava operativnu učinkovitost i inovacije uz zaštitu povjerljivosti, cjelovitosti i dostupnosti informacijske imovine. Opseg politike je sveobuhvatan te se primjenjuje na sve zaposlenike, izvođače, dobavljače trećih strana i konzultante uključene u bilo kakvu dodjelu pristupa, konfiguraciju, administraciju ili korištenje usluga u oblaku. Ovaj doseg obuhvaća javna, privatna, hibridna i community cloud uvođenja, pokriva sve klasifikacije podataka te izričito uključuje i interna i okruženja hostirana kod dobavljača, kao i sprječavanje shadow IT-a i osobnog korištenja oblaka u poslovne svrhe. Ključni ciljevi politike uključuju: definiranje jasnih smjernica i polaznih osnova za usvajanje oblaka, minimiziranje operativnih i regulatornih rizika (kao što su pogrešne konfiguracije, povrede podataka i neovlašteni pristup) te propisivanje snažnih sigurnosnih i privatnosnih kontrola kroz ugovorne obveze, kontinuiranu procjenu i prava na reviziju za sve pružatelje usluga u oblaku. Politika inzistira na centralnom održavanju Registra usluga u oblaku, pod nadzorom glavnog službenika za informacijsku sigurnost (CISO), koji katalogizira odobrene pružatelje usluga, vrste usluga, ocjene rizika, poslovne vlasnike i ugovorne atribute, podržavajući rigorozno upravljanje životnim ciklusom pristupa i kontinuirano praćenje usklađenosti. Uloge i odgovornosti su precizno razgraničene, dodjeljujući funkcije upravljanja i nadzora kroz izvršni menadžment, glavnog službenika za informacijsku sigurnost (CISO), arhitekta sigurnosti oblaka, IT operacije, nabavu, pravne poslove i usklađenost, vlasnike informacijske imovine i krajnje korisnike. Politika provodi stroge tehničke i proceduralne kontrole: upravljanje identitetom i pristupom temeljeno na identitetu (uz obveznu kontrolu pristupa na temelju uloga (RBAC) i višefaktorsku autentifikaciju (MFA) za administrativne račune), polazne sigurnosne konfiguracije, šifriranje (uz korištenje standarda odobrenih od NIST-a), zahtjeve za revizijsko bilježenje te integraciju usluga u oblaku sa sustavima Security Information and Event Management (SIEM). Ugovori s pružateljima usluga u oblaku moraju obuhvatiti prava na reviziju, obavještavanje o povredi, povrat/brisanje podataka i praćenje usklađenosti. Podaci se smiju prenositi u oblak samo nakon klasifikacije, a prekogranični prijenosi moraju biti usklađeni s uspostavljenim propisima kao što je GDPR. Upravljanje rizicima je središnje: svaka odstupanja zahtijevaju dokumentirane iznimke, detaljan plan obrade rizika, odobrenje glavnog službenika za informacijsku sigurnost (CISO) ili arhitekta sigurnosti oblaka te višerazinsko preispitivanje za scenarije visokog rizika. Kontinuirano upravljanje provodi se kroz redovito kontinuirano praćenje usklađenosti, integraciju s odgovorom na incidente (eskalirano putem Politike odgovora na incidente (P30)), godišnje preglede i međuažuriranja potaknuta ishodima incidenata, migracije sustava ili regulatornim promjenama. Kršenja odredbi politike, poput korištenja neovlaštene usluge u oblaku ili zanemarivanja obveznih kontrola, pokreću niz posljedica, od obuke do pravnih radnji ili prestanka radnog odnosa. Politika korištenja oblaka povezuje se s povezanim politikama o politici informacijske sigurnosti, upravljanju promjenama, klasifikaciji podataka, kriptografiji, Politici bilježenja i praćenja, odgovoru na incidente i reviziji, dodatno učvršćujući svoju ulogu kao autoritativne osnove upravljanja oblakom.