Politika dwar l-Użu tal-Cloud - SME

Il-Politika tal-Użu tal-Cloud P27S tistabbilixxi rekwiżiti komprensivi iżda prattiċi għall-ġestjoni tas-servizzi tal-cloud f’ambjenti ta’ intrapriżi żgħar u medji (SME). Billi tirrikonoxxi li l-SMEs spiss ma jkollhomx dipartimenti tal-IT fuq skala sħiħa, din il-politika hija mfassla b’responsabbiltajiet ċari u ssimplifikati, bħall-assenjazzjoni ta’ deċiżjonijiet ewlenin lill-General Manager u lill-fornitur tal-IT jew appoġġ tekniku, aktar milli rwoli speċjalizzati bħall-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) jew iċ-ċentru tal-operazzjonijiet tas-sigurtà (SOC), filwaqt li xorta tiżgura allinjament qawwi ma’ ISO/IEC 27001:2022, GDPR, NIS2, u DORA. Il-politika tapplika għas-servizzi kollha bbażati fuq il-cloud, kemm jekk b’xejn jew imħallsa, u tkopri applikazzjonijiet tan-negozju komuni bħal pjattaformi ta’ qsim ta’ dokumenti, għodod SaaS, konferenzi bil-vidjo, email, sistemi ta’ backup, u pjattaformi tal-klijenti. Kull min jaċċessa dejta tal-kumpanija, anke permezz ta’ mobile jew tablet, irid isegwi dawn ir-regoli, li jinsistu fuq approvazzjoni minn qabel għas-servizzi kollha tal-cloud u jipprojbixxu b’mod assolut l-użu ta’ kontijiet personali tal-cloud għad-dejta tan-negozju, u b’hekk jipprevjenu r-riskji ta’ shadow IT. Għandu jinżamm reġistru tas-servizzi tal-cloud definit b’mod ċar biex jiġi traċċat kull pjattaforma awtorizzata, l-individwu responsabbli, il-post fejn tinħażen id-dejta, il-privileġġi ta’ aċċess, u informazzjoni dwar l-appoġġ. Il-kontrolli tas-sigurtà huma obbligatorji: il-pjattaformi kollha tal-cloud iridu jinforzaw awtentikazzjoni b’diversi fatturi (MFA) għall-utenti u l-amministraturi; jużaw passwords b’saħħithom u kumplessi; jipprovdu audit logging tal-attività u restrizzjoni tal-aċċess (bħal listi ta’ permessi fejn disponibbli); u jkollhom rieżamijiet perjodiċi tal-aċċess tal-kontenut kondiviż. Kull ksur, bħal nuqqas li titwettaq tneħħija tal-aċċess għal utent jew qsim pubbliku ta’ dejta sensittiva, jiġi kklassifikat bħala inċident tas-sigurtà tal-informazzjoni u jkun soġġett għal azzjonijiet korrettivi, inkluż revoka tal-aċċess, taħriġ mill-ġdid tal-utent, jew, jekk meħtieġ, eskalazzjoni legali/regolatorja. Il-politika tistabbilixxi rekwiżiti stretti għall-politika ta’ żamma tad-dejta u s-sistemi ta’ backup, u tiddirezzjona li dejta kritika għan-negozju jew dejta rregolata trid tiġi appoġġjata regolarment, tinżamm biex tissodisfa obbligi legali jew tal-klijenti, u l-kapaċità ta’ esportazzjoni mill-pjattaformi tal-cloud għandha tiġi kkonfermata biex jiġi evitat vendor lock-in. Il-kuntratti tal-fornituri għal servizzi tal-cloud imħallsa jridu jispeċifikaw protezzjoni tad-data, notifiki ta’ ksur, sjieda tad-dejta, u eskalazzjoni definita. Il-konformità tiġi mmonitorjata b’verifiki mill-inqas darbtejn fis-sena fuq l-aċċess, il-password, u l-istatus tal-amministrazzjoni, u l-eċċezzjonijiet kollha tal-politika jridu jiġu ġġustifikati u approvati formalment mill-General Manager, b’kontrolli kumpensatorji u dati ta’ skadenza għar-riżoluzzjoni. Ir-rieżami u t-titjib kontinwu huma integrati: il-politika teħtieġ rieżami annwali, kif ukoll aġġornamenti wara inċidenti, l-introduzzjoni ta’ pjattaformi ġodda, jew bidliet regolatorji. Reġistri arkivjati jinżammu b’mod sigur skont il-politika ta’ żamma tad-dejta, biex jiġi żgurat li l-attività kollha tal-cloud tkun awditabbli għal rekwiżiti interni u esterni (inkluż ISO). Bl-iskop iffukat tagħha, din il-politika tipprovdi lill-SMEs struttura robusta iżda maniġġabbli għall-governanza tal-użu tal-cloud, li tippermetti konformità regolatorja, ġestjoni tar-riskju, u kontinwità operazzjonali.