Politika používania cloudu – SME

Politika používania cloudu P27S stanovuje komplexné, no praktické požiadavky na riadenie cloudových služieb v prostredí malých a stredných podnikov (SME). Keďže SME často nemajú plnohodnotné IT oddelenia, táto politika je navrhnutá s jasnými a zjednodušenými zodpovednosťami, napríklad priraďuje kľúčové rozhodnutia Generálnemu manažérovi a IT poskytovateľovi alebo technickej podpore, namiesto špecializovaných rolí CISO alebo centra bezpečnostných operácií (SOC), pričom stále zabezpečuje silné zosúladenie s rámcami ISO/IEC 27001:2022, GDPR, NIS2 a DORA. Politika sa vzťahuje na všetky cloudové služby, bez ohľadu na to, či sú bezplatné alebo platené, a pokrýva bežné podnikové aplikácie, ako sú platformy na zdieľanie dokumentov, nástroje SaaS, videokonferencie, e-mail, zálohovanie a zákaznícke platformy. Každý, kto pristupuje k podnikovým údajom, aj prostredníctvom mobilu alebo tabletu, musí dodržiavať tieto pravidlá, ktoré vyžadujú predchádzajúce schválenie všetkých cloudových služieb a úplne zakazujú používanie osobných cloudových účtov na podnikové údaje, čím sa predchádza rizikám shadow IT. Musí sa viesť jasne definovaný Register cloudových služieb na sledovanie každej autorizovanej platformy, zodpovednej osoby, umiestnenia údajov, prístupových oprávnení a informácií o podpore. Bezpečnostné kontrolné opatrenia sú povinné: všetky cloudové platformy musia vynucovať viacfaktorovú autentifikáciu (MFA) pre používateľov aj administrátorov; používať silné, komplexné heslá; poskytovať auditné logovanie a obmedzenia prístupu (napr. zoznamy povolených položiek IP, ak sú dostupné); a mať pravidelné revízie zdieľaného obsahu. Každé porušenie, napríklad zabudnuté zrušenie prístupových oprávnení používateľa alebo verejné zdieľanie citlivých údajov, sa klasifikuje ako incident informačnej bezpečnosti a podlieha nápravným opatreniam vrátane zrušenia prístupových oprávnení, preškolenia používateľa alebo v prípade potreby právnej reakcie. Politika stanovuje prísne požiadavky na uchovávanie údajov a zálohovanie a uvádza, že podnikovo kritické alebo regulované údaje musia byť pravidelne zálohované, uchovávané tak, aby spĺňali zákonné povinnosti alebo povinnosti voči zákazníkom, a musí sa potvrdiť schopnosť exportu z cloudových platforiem, aby sa predišlo vendor lock-in. Zmluvy pre platené cloudové služby musia špecifikovať ochranu údajov, notifikácie porušení, vlastníctvo údajov a definovanú eskaláciu. Súlad sa monitoruje minimálne dvakrát ročne kontrolami prístupu, hesiel a administrátorského stavu a všetky výnimky z politík musia byť formálne odôvodnené a schválené Generálnym manažérom, s kompenzačnými kontrolami a lehotami plnenia na odstránenie. Preskúmanie a neustále zlepšovanie sú zabudované: politika vyžaduje ročné preskúmanie, ako aj aktualizácie po incidentoch, zavedení nových platforiem alebo regulačných zmenách. Archivované záznamy sa uchovávajú bezpečne podľa Politiky uchovávania údajov, čím sa zabezpečí, že všetka cloudová aktivita je auditovateľná pre interné aj externé (vrátane ISO) požiadavky. Vďaka svojmu zameranému rozsahu poskytuje táto politika SME robustnú, no zvládnuteľnú štruktúru pre správu používania cloudu, ktorá umožňuje regulačný súlad, riadenie rizík a prevádzkovú kontinuitu.