Politika používania cloudu

Politika používania cloudu (P27) poskytuje jednotný, povinný štandard pre prijímanie, riadenie a správu cloudových výpočtových služieb, zahŕňajúci modely Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) a Software-as-a-Service (SaaS). Jej cieľom je zabezpečiť, aby všetko používanie cloudových platforiem v organizácii bolo bezpečné, v súlade s relevantnými predpismi a podporovalo prevádzkovú efektívnosť a inovácie pri ochrane dôvernosti, integrity a dostupnosti informačných aktív. Rozsah politiky je komplexný a vzťahuje sa na všetkých zamestnancov, dodávateľov, dodávateľov tretích strán a konzultantov zapojených do akéhokoľvek zriaďovania prístupu, konfigurácie, administrácie alebo používania cloudových služieb. Tento rozsah sa vzťahuje na nasadenia verejného, súkromného, hybridného a komunitného cloudu, pokrýva všetky klasifikácie údajov a výslovne zahŕňa interné aj dodávateľom hostované prostredia, ako aj prevenciu shadow IT a používania osobného cloudu na podnikové účely. Kľúčové ciele politiky zahŕňajú: definovanie jasných usmernení a základných súborov kontrolných opatrení pre prijatie cloudu, minimalizáciu prevádzkových a regulačných rizík (napr. nesprávne konfigurácie, porušenia ochrany údajov a neoprávnený prístup) a nariadenie robustných bezpečnostných a súkromných kontrol prostredníctvom zmluvných povinností, nepretržitého posudzovania a práv na audit pre všetkých poskytovateľov cloudu. Politika trvá na centrálnej údržbe Registra cloudových služieb pod dohľadom riaditeľa informačnej bezpečnosti (CISO), ktorý katalogizuje schválených poskytovateľov, typy služieb, rizikové hodnotenia, vlastníkov z podnikania a atribúty zmlúv, čím podporuje prísne riadenie životného cyklu a nepretržité monitorovanie súladu. Roly a zodpovednosti sú presne vymedzené a prideľujú funkcie riadenia a dohľadu naprieč výkonným manažmentom, riaditeľom informačnej bezpečnosti (CISO), architektom bezpečnosti cloudu, prevádzkou IT, obstarávaním, právnymi záležitosťami, vlastníkmi údajov a koncovými používateľmi. Politika vynucuje prísne technické a procesné kontrolné opatrenia: správa identít a prístupov (IAM) založená na identite (s povinným riadením prístupu na základe rolí (RBAC) a viacfaktorovou autentifikáciou (MFA) pre administrátorské účty), základné bezpečnostné konfigurácie, šifrovanie (s použitím štandardov schválených NIST), požiadavky na auditné logovanie a integráciu cloudových služieb so systémami Security Information and Event Management (SIEM). Zmluvy s poskytovateľmi cloudu musia riešiť práva na audit, notifikácie porušenia, vrátenie/vymazanie údajov a nepretržité monitorovanie súladu. Údaje sa môžu prenášať do cloudu iba po klasifikácii a cezhraničné prenosy musia byť v súlade so zavedenými predpismi, ako je GDPR. Riadenie rizík je kľúčové: akékoľvek odchýlky vyžadujú zdokumentované výnimky, podrobné plány ošetrenia rizík, schválenie riaditeľom informačnej bezpečnosti (CISO) alebo architektom bezpečnosti cloudu a viacúrovňové preskúmanie pre scenáre s vysokým rizikom. Priebežná správa sa vynucuje prostredníctvom pravidelného monitorovania súladu, integrácie reakcie na incidenty (eskalovanej prostredníctvom Politiky reakcie na incidenty (P30)), ročných preskúmaní a priebežných aktualizácií vyvolaných výsledkami incidentov, migráciami alebo regulačnými zmenami. Porušenia ustanovení politiky, ako napríklad používanie neschválených cloudových účtov alebo zanedbanie požadovaných kontrol, spúšťajú škálu dôsledkov od školenia až po právne kroky alebo ukončenie pracovného pomeru. Politika používania cloudu je prepojená so súvisiacimi politikami o informačnej bezpečnosti, riadení zmien, klasifikácii údajov, kryptografických kontrolách, auditnom logovaní, monitorovaní, reakcii na incidenty a audite, čím ďalej posilňuje svoju úlohu autoritatívneho základu správy cloudu.