ISO 27018 Bezpieczna chmura - Czy to możliwe?

W wielu klientach kryje się naturalna podejrzliwość w stosunku do innowacyjnych rozwiązań – nienamacalnych, odległych topograficznie usług, których zaplecze technologiczne znajduje się poza ścianami znajomego biura. Pojawia się nie tylko obawa o bezpieczeństwo własnych danych, ale także danych klientów, których wyciek może spowodować fatalne konsekwencje prawne, finansowe i przede wszystkim wizerunkowe. Choć zalety rozwiązań chmurowych dla organizacji są niepodważalne, warto zastanowić się nad bezpieczeństwem danych przetrzymywanych w sieci. Czy chmura jest tak bezpieczna, jak utrzymują jej dostawcy? Co z bezpieczeństwem w organizacji, czy jest niezagrożone?

Entuzjazm przedsiębiorców osłabia jednak najpoważniejsza z wątpliwości – prawie połowa organizacji wątpi w wystarczające bezpieczeństwo usług Cloud Computing. Należy kierować się kilkoma zasadami, aby zapewnić satysfakcjonujący poziom zabezpieczenia.

Wybierz bezpieczniej
Zagwarantowanie najwyższego poziomu zabezpieczeń nie należy do zadań łatwych. W przypadku danych o najwyższym stopniu poufności, klient podnieść może stopień zabezpieczeń, decydując się na rozbudowany model rozwiązań CC. Zwiększenie ochrony wiąże się z rezygnacją z Public Cloud Computingu, polegającego na współdzieleniu wirtualnego środowiska z wyodrębnionej części serwerowni. Wyższy stopień ochrony zapewnia kolokacja, polegająca na udostępnieniu klientowi miejsca w szafie serwerowej, wydzielonej powierzchni serwerowni lub całej sali kolokacyjnej. Ulokowana tam infrastruktura należy do klienta, a jedynie zarządzanie nią zlecane jest pracownikom serwerowni. Decydując się na usługę kolokacji wybrać musimy zaufany podmi- ot, posiadający własne, dobrze zabezpieczone Centrum Danych. Firmy posiadać mogą własne serwerownie, zapewniające najwyższy stopień zabezpieczeń, jak i dzierżawić powierzchnie, korzystając ze swojego bądź wypożyczonego sprzętu.

Dobry backup danych
Przede wszystkim jednak, klient wymagać powinien tworzenia ciągłych backupów, jedynego środka zabez- pieczającego przed bezpowrotną stratą danych, a także posiadać nad nimi fizyczną kontrolę. Stale przeprowadzany backup jest jedynym gwarantem zabezpieczającym odzyskanie powierzonych przez klienta danych. W przypadku błędu ludzkiego, spustoszeń wywołanych przez wirusa, a nawet pożaru, to kopie zapasowe pozwolą na odzyskanie pełnych i poprawnych informacji. Same kopie bezpieczeństwa ulokowane muszą zostać w innym budynku, na osobnym nośniku fizycznym, aby całkowicie wyeliminować możliwość straty lub uszkodzenia obu wersji.

Wyznaczniki najwyższej ochrony
W jaki sposób klient może przekonać się o poziomie zabezpieczeń? Bezpiecznego usługodawcę poznać można już na pierwszy rzut oka, po określonych cechach, świadczących o zapewnionym poziomie ochrony. Podstawowe minimum stanowi szyfrowanie przy logowaniu (SSL), certyfikat ID lub VPN. O ciągłości usług świadczyć będzie korzystanie ze stałego monitoringu zawiadamiającego o awarii witryny w ciągu kilku sekund. Ważna jest także sama geolokalizacja firmy, determinująca dostępność 24/7. Zdobyte doświadczenie firmy, a więc bogate portfolio klientów i uzyskane referencje, także nie są bez znaczenia.

Normy i dobre praktyki w chmurze
Największym problemem na przeszkodzie szerokiemu biznesowemu wykorzystaniu przetwarzania w chmurze jest brak zaufania. Chmura może oferować najwyższy poziom bezpieczeństwa, jednak gdy klient nie jest pewny tego bezpieczeństwa, samemu zwykle nie znając się na tym, niechętnie podejmie decyzję związaną z nieznanym mu poziomem ryzyka. Problemem jest więc zaufanie co do bezpieczeństwa.
Reguły te zostały ujęte między innymi w rodzinie norm ISO 27000. W tym w normie ISO/IEC 27001:2013 Technika informatyczna – Techniki bezpieczeństwa – System Zarządzania Bezpieczeństwem Informacji – Wymagania oraz w normie ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor, dotyczącej bezpieczeństwa danych osobowych w chmurze. ISO 27018 zobowiązuję organizację do poinfor- mowania nas o próbie ingerencji aparatu administracji państwowej w nasze dane oraz wymusza na pracown- ikach podpisanie klauzuli zobowiązującej do zachowania poufności. Nie chroni przed przypadkami losowymi, ale stanowi doskonałą ochronę przed instytucjonalną ingerencją w nasze dane.
Rozwiązania w chmurze (Cloud Computing) stanowią najlepszą odpowiedź na rosnącą potrzebę korzystania w organizacji z nowych technologii, przy jednoczesnym braku inwestycji w zaplecze najnowszej generacji. Dotyczą one nie tylko sprzętu, ale i oprogramowania (oszczędności na zakupie licencji), usług, administracji. Klient uzyskuje swobodny dostęp on-line do superszybkich usług, ponosząc jedynie koszty wykorzystania realnych zasobów.

Jakie korzyści wiążą się z normą ISO/IEC 27018?
Norma ISO/IEC 27018 stosowana w połączeniu z ISO/IEC 27001 – Systemem Zarządzania Bezpieczeństwem Informacji, zapewnia wytyczne dotyczące dostawców usług w chmurze przetwarzających dane osobowe. Zapewnia lepsze zrozumienie normy i sposobu, w jaki pomaga ona Dostawcom Usług w Chmurze i ich klientom.
- Wzbudza zaufanie do Państwa przedsiębiorstwa
- Daje przewagę konkurencyjną
- Pomaga w rozwoju przedsiębiorstwa
Dowiedz się więcej http://bit.ly/2bxMfVC

Niezależnie od tego, czy rozpoczynają Państwo proces certyfikacji,czy też chcą Państwo jedynie omówić dostępne możliwości, prosimy o kontakt z naszymi ekspertami, którzy przeprowadzą Państwa przez ten proces. Napisz do nas: certification.pl@bsigroup.com

Źródło: BSI Group Polska

Wcześniejsze aktualności


Newsletter - nowości wprost na e-mail
)