Polityka korzystania z chmury – MŚP

Polityka korzystania z chmury P27S ustanawia kompleksowe, a jednocześnie praktyczne wymagania dotyczące zarządzania usługami chmurowymi w środowiskach małych i średnich przedsiębiorstw (MŚP). Uwzględniając, że MŚP często nie posiadają pełnoskalowych działów IT, polityka ta została zaprojektowana z jasnymi i uproszczonymi odpowiedzialnościami, takimi jak przypisanie kluczowych decyzji dyrektorowi generalnemu oraz dostawcy IT lub wsparciu technicznemu, zamiast wyspecjalizowanych ról dyrektora ds. bezpieczeństwa informacji (CISO) lub centrum operacji bezpieczeństwa (SOC), przy jednoczesnym zachowaniu silnej zgodności z ramami ISO/IEC 27001:2022, GDPR, NIS2 i DORA. Polityka ma zastosowanie do wszystkich usług opartych na chmurze obliczeniowej, zarówno bezpłatnych, jak i płatnych, obejmując typowe aplikacje biznesowe, takie jak platformy udostępniania dokumentów, narzędzia SaaS, wideokonferencje, poczta elektroniczna, kopie zapasowe oraz platformy obsługi klientów. Każda osoba uzyskująca dostęp do danych firmowych, nawet za pośrednictwem telefonu lub tabletu, musi przestrzegać tych zasad, które wymagają wcześniejszego zatwierdzenia wszystkich usług chmurowych oraz całkowicie zakazują używania prywatnych kont chmurowych do danych firmowych, ograniczając ryzyka związane z nieautoryzowanymi usługami chmurowymi. Należy utrzymywać jasno zdefiniowany rejestr usług chmurowych, aby śledzić każdą autoryzowaną platformę, osobę odpowiedzialną, lokalizację danych, uprawnienia dostępu oraz informacje o wsparciu. Zabezpieczenia techniczne są obowiązkowe: wszystkie platformy chmurowe muszą wymuszać uwierzytelnianie wieloskładnikowe dla użytkowników i administratorów; stosować silne, złożone hasła; zapewniać rejestrowanie audytowe aktywności oraz ograniczenia dostępu (np. listy dozwolonych adresów IP, jeśli dostępne); oraz prowadzić regularne przeglądy udostępnionej treści. Każde naruszenie, takie jak brak odbierania uprawnień lub publiczne udostępnienie danych wrażliwych, jest klasyfikowane jako incydent bezpieczeństwa i podlega działaniom korygującym, w tym cofnięciu uprawnień dostępu, ukierunkowanemu ponownemu przeszkoleniu użytkownika lub, w razie potrzeby, eskalacji prawnej/regulacyjnej. Polityka określa rygorystyczne wymagania dotyczące polityki retencji danych oraz systemów kopii zapasowych, wskazując, że dane krytyczne dla działalności lub dane regulowane muszą być regularnie archiwizowane, przechowywane w celu spełnienia obowiązków prawnych lub zobowiązań klientów, a możliwość eksportu z platform chmurowych powinna zostać potwierdzona, aby uniknąć uzależnienia od dostawcy. Umowy dla płatnych usług chmurowych muszą określać ochronę danych, powiadomienia o naruszeniach, własność danych oraz zdefiniowaną eskalację. Zgodność jest monitorowana poprzez co najmniej dwa razy w roku kontrole dostępu, haseł i statusu administratorów, a wszystkie odstępstwa od polityki muszą być formalnie uzasadnione i zatwierdzone przez dyrektora generalnego, wraz z kontrolami kompensacyjnymi oraz terminami realizacji usunięcia niezgodności. Wymagania dotyczące przeglądu i aktualizacji oraz ciągłe doskonalenie są wbudowane: polityka wymaga corocznego przeglądu, a także aktualizacji po incydentach, wprowadzeniu nowych platform lub zmianach regulacyjnych. Zarchiwizowane zapisy są bezpiecznie przechowywane zgodnie z polityką retencji danych, zapewniając, że cała aktywność w chmurze obliczeniowej jest audytowalna dla wymagań wewnętrznych i zewnętrznych (w tym ISO). Dzięki skoncentrowanemu zakresowi polityka ta zapewnia MŚP solidną, ale możliwą do utrzymania strukturę zarządzania korzystaniem z chmury obliczeniowej, umożliwiając zgodność regulacyjną, zarządzanie ryzykiem oraz ciągłość operacyjną.