Politika uporabe oblaka

Politika uporabe oblaka (P27) zagotavlja enoten, obvezen standard za uvajanje, upravljanje in uporabo storitev računalništva v oblaku, ki zajema modele Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) in Software-as-a-Service (SaaS). Njen cilj je zagotoviti, da je vsa organizacijska uporaba oblačnih platform varna, skladna z relevantnimi predpisi ter podpira operativno učinkovitost in inovacije, hkrati pa varuje zaupnost, celovitost in razpoložljivost informacijskih sredstev. Obseg politike je celovit in velja za vse zaposlene, pogodbene izvajalce, dobavitelje tretjih oseb in svetovalce, ki sodelujejo pri kakršnem koli dodeljevanju, konfiguriranju, administraciji ali uporabi storitev v oblaku. Ta doseg se razteza na uvedbe javnega, zasebnega, hibridnega okolja in skupnostnega oblaka, zajema vse razvrščanje podatkov ter izrecno vključuje tako notranja kot pri dobavitelju gostovana okolja, pa tudi preprečevanje shadow IT in osebne uporabe oblaka za poslovne namene. Ključni cilji politike vključujejo: opredelitev jasnih smernic in osnovnih izhodišč za uvajanje oblaka, zmanjševanje operativnih in regulativnih tveganj (kot so napačne konfiguracije, kršitve varnosti osebnih podatkov in nepooblaščen dostop) ter zahtevo po robustnih kontrolah varnosti in zasebnosti prek pogodbenih obveznosti, stalnega ocenjevanja in pravice do revizije za vse ponudnike storitev v oblaku. Politika vztraja pri centralnem vzdrževanju registra storitev v oblaku, ki ga nadzira vodja informacijske varnosti (CISO) in ki katalogizira odobrene ponudnike, vrste storitev, ocene tveganja, poslovne lastnike in pogodbene atribute, s čimer podpira strogo upravljanje življenjskega cikla dostopov in stalno spremljanje skladnosti. Vloge in odgovornosti so natančno opredeljene, pri čemer se funkcije upravljanja in nadzora dodelijo izvršnemu vodstvu, vodji informacijske varnosti (CISO), arhitektu varnosti oblaka, IT-operacijam, nabavi, pravu in skladnosti, lastnikom podatkov in končnim uporabnikom. Politika uveljavlja stroge tehnične in postopkovne kontrole: upravljanje identitet in dostopa (IAM) (z obveznim nadzorom dostopa na podlagi vlog (RBAC) in večfaktorsko avtentikacijo (MFA) za skrbniške račune), osnovne varnostne konfiguracije, šifriranje (z uporabo standardov, odobrenih s strani NIST), zahteve za revizijsko beleženje ter integracijo storitev v oblaku s sistemi Security Information and Event Management (SIEM). Pogodbe s ponudniki storitev v oblaku morajo obravnavati pravice do revizije, obveščanje o kršitvah, vračilo/izbris podatkov in spremljanje skladnosti. Podatki se lahko v oblak prenesejo le po razvrščanju podatkov, čezmejni prenosi pa morajo biti skladni z uveljavljenimi predpisi, kot je GDPR. Obvladovanje tveganj je osrednjega pomena: vsa odstopanja zahtevajo dokumentirane izjeme, podrobne načrte obravnave tveganj, odobritev vodje informacijske varnosti (CISO) ali arhitekta varnosti oblaka ter večnivojski pregled za scenarije z visokim tveganjem. Stalno upravljanje se uveljavlja z rednim spremljanjem skladnosti, integracijo odziva na incidente (eskalirano prek politike odzivanja na incidente (P30)), letnimi pregledi in vmesnimi posodobitvami, ki jih sprožijo izidi incidentov, migracije ali regulativne spremembe. Kršitve določb politike, kot so uporaba neodobrenih računov v oblaku ali zanemarjanje zahtevanih kontrol, sprožijo vrsto posledic, od usposabljanja do pravdnega postopka ali postopka prenehanja. Politika uporabe oblaka je povezana s sorodnimi politikami o informacijski varnosti, upravljanju sprememb, razvrščanju podatkov, kriptografskih kontrolah, politiki beleženja in spremljanja, politiki odzivanja na incidente (P30) in presoji, s čimer dodatno utrjuje svojo vlogo kot avtoritativna osnova upravljanja oblaka.