Dlaczego usługi w chmurze potrzebują certyfikatów bezpieczeństwa?

W 2022 rok wchodzimy z odnowionymi certyfikatami bezpieczeństwa i to dobry powód, aby krótko wyjaśnić, dlaczego te certyfikaty są takie ważne dla waszych biznesów i dlaczego warto ich wymagać od swoich dostawców.

Wiadomo już, że to rozwiązania w chmurze staną się wiodącym modelem wdrażania nowych technologii informatycznych w firmach. Największą barierą są dla nich zwykle obawy dotyczące bezpieczeństwa. Problemem jest też brak praktycznej wiedzy, czym jest chmura i z czego wynikają jej korzyści. W rezultacie jako rozwiązania chmurowe oferowane jest np. klasyczne oprogramowanie /model On Premises, tyle że w infrastrukturze chmurowej/. Z tego powodu trudno mówić o korzyściach funkcjonalnych czy kosztowych związanych z rozwojem i utrzymaniem takiego oprogramowania.

Oprogramowanie w modelu On Premises jest modelem tradycyjnym, instalowanym oddzielnie dla każdego klienta /w infrastrukturze prywatnej lub chmurowej klienta/ na którym spoczywają nie tylko koszty instalacji, ale i utrzymania w ruchu i zapewnienie bezpieczeństwa całego systemu. W rezultacie wszystko odbywa się dużo wolniej i dużo drożej. Samo oprogramowanie jest też zwykle mniej funkcjonalne niż dobre oprogramowanie w chmurze, które łatwiej integruje się z najbardziej nowoczesnymi technologiami. 

O korzyściach z oprogramowania chmurowego można mówić tylko wtedy kiedy oprogramowanie umożliwia świadczenie usług dla wielu organizacji, bez konieczności wykonywania oddzielnych instalacji i obsługi serwisowej. Nowy klient to nowe konto na platformie, oszczędności wynikają z tego, że rozwiązujemy równocześnie problemy wielu użytkowników, a instalacja, rozwój i opieka serwisowa dotyczy tylko jednego systemu informatycznego. W takim przypadku jednak prawdziwym wyzwaniem staje się zapewnienie bezpieczeństwa i tego właśnie boją się szefowie IT i osoby odpowiedzialne w firmach za bezpieczeństwo. 

 

Czego boją się szefowie?

Szefowie w firmach, boją się, że ich dane, tak istotne i newralgiczne z punktu widzenia działania ich biznesów, wyciekną, albo że oprogramowanie przestanie działać. Ryzykiem, z którym muszą się zmierzyć, jest również zgodność prawna w działaniu procesów przeniesionych do chmury. To ich firmy ponoszą odpowiedzialność bezpośrednią lub pośrednią za wszelkie zaniechania w tym zakresie i nieprzewidziane wydarzenia.

Wbrew pozorom nawet powszechny proces fakturowania przeniesiony do chmury, wiąże się z operacją na danych, newralgicznie ważnych biznesowo dla każdej firmy.  Dlatego trudno się dziwić ostrożności w podejmowaniu decyzji, w szczególności, kiedy dysponują tylko deklaracją dostawcy rozwiązania, że “wszystko będzie dobrze”. :) Aby ułatwić te trudne decyzje, wdrożono ustandaryzowanie w postaci certyfikatów, a rodzina certyfikatów ISO 27000 to grupa argumentów pozwalających podejmować lepsze decyzje biznesowe. 

 

ISO 27000 … co to takiego i dlaczego warto? 

ISO 27000 to grupa międzynarodowych norm, standaryzujących zarządzanie bezpieczeństwem informacji. Jest powszechnie stosowana przez technologicznych gigantów takich jak Google, Microsoft czy Amazon. W ten sposób uwiarygodniają oni swoje procesy biznesowe i technologiczne przed  swoim klientami. Dostawcy rozwiązań chmurowych, tacy jak netPR.pl, podążają tą samą drogą. 

Typowy zestaw certyfikatów wykorzystywanych przez dostawców chmurowych to: ISO 27001, ISO 27017 oraz ISO 27018. Certyfikowany dostawca chmury zapewnia:

• praktyczne spełnienie obowiązku przetwarzania danych osobowych zgodnie z prawem, bez konieczności kosztownych audytów procesorów danych,
• ograniczenie ryzyk po stronie osób odpowiedzialnych za migrację procesów biznesowych do chmury przez lepsze rozumienie ról i odpowiedzialności dotyczących zapewnienia bezpieczeństwa, 

• uproszczenie własnych procedur bezpieczeństwa - coraz więcej firm wymaga certyfikacji bezpieczeństwa ISO od dostawców właśnie z tego powodu,
• łatwiejsze zawieranie umów, które muszą uwzględniać wymogi standardów bezpieczeństwa ISO i są bardziej bezpieczne dla odbiorców usług w chmurze,
• większe poczucie bezpieczeństwa dla firm korzystających z usług takiego dostawcy,
• świadome, bazujące na konkretnych argumentach decyzje dotyczące wyboru dostawców usług w chmurze.

 

ISO 27001:2013:
firma potrafi zarządzać bezpieczeństwem

 

ISO 27001 to określenie najbardziej popularnej normy, określającej procesy wewnątrz organizacji, które pozwalają efektywnie zarządzać bezpieczeństwem przetwarzanych przez nią informacji. W praktyce oznacza, że firma lub instytucja wdrożyła system zarządzania bezpieczeństwem (SZBI). 

To nie jest przewodnik z wykazem rozwiązań technologicznych, a opis procesów biznesowych, które to bezpieczeństwo pozwalają zapewnić wewnątrz organizacji. Takimi procesami są zarówno mechanizmy, uwzględniające konieczność oceny wielu ryzyk towarzyszących działalności każdego z biznesów indywidualnie, jak i te mówiące, w jaki sposób na dane ryzyka zareagować.

W praktyce uzyskanie certyfikatu ISO 27001 jest potwierdzeniem tego, że firma wdrożyła mechanizmy, pozwalające zapewnić bezpieczeństwo informacji, które w ramach jej procesów wewnętrznych przetwarza. Jest to norma stosowana przez szerokie spektrum firm z wielu branż, dotyczy bowiem bezpieczeństwa informacji rozumianych nie tylko kontekście baz danych, czy w szczególności danych osobowych. 

 

Jaki jest zakres certyfikacji ISO 27001:2013 dla netPR.pl:

Zarządzanie bezpieczeństwem informacji w zakresie przetwarzania zarówno danych własnych, jak i danych powierzonych przez Klientów za pośrednictwem udostępnionego im oprogramowania w chmurze, procesów projektowania, produkowania i utrzymywania oprogramowania wspierającego komunikację firm, marketing, public relations oraz relacje inwestorskie, zgodnie z Deklaracją Stosowania wersja 2021.10 z dnia 17.10.2021.

 

ISO 27017:2015

usługa w chmurze jest bezpieczna (i nie tylko to)

 

ISO 27017 jest normą dedykowaną dostawcom rozwiązań chmurowych. Jest uzupełnieniem do standardu ISO 27001 i zawiera zestaw wytycznych dotyczących zapewnienia bezpieczeństwa informacji w związku ze świadczeniem usług chmurowych. 

Stosowanie tych wytycznych minimalizuje ryzyko wystąpienia możliwych naruszeń bezpieczeństwa. Zapewnia odbiorcom usług w chmurze informacje na temat tego, czego powinni oczekiwać od dostawcy usługi oraz określa role i obowiązki stron: dostawcy i odbiorcy.

Standard ten dotyczy również odbiorców usług chmurowych. Pomaga zrozumieć jak efektywnie korzystać z usług dostępnych w chmurze i skutecznie chronić swoją organizację. 

W przypadku netPR.pl zakres certyfikacji ISO 27017 dotyczył roli zarówno dostawcy, jak i odbiorcy usług w chmurze. Nie tylko jesteśmy dostawcami rozwiązań chmurowych, ale również wykorzystujemy technologię zewnętrznych dostawców chmurowych, choćby takich jak Amazon Inc. To istotna umiejętność, bo w chmurze oprogramowanie piszę się i łatwiej i dużo trudniej zarazem. Trudniej w chmurze pisać oprogramowanie bezpieczne, w którym mechanizmy bezpieczeństwa trzeba zapewnić pomiędzy poszczególnymi modułami, serwerami czy węzłami. To ekstra wiedza i dodatkowe nakłady pracy, ale efekty mogą być dużo lepsze niż w przypadku oprogramowania klasycznego. 

 

Zakres Certyfikacji netPR.pl:

ISO 27017

Zasady i wytyczne dotyczące zapewnienia bezpieczeństwa informacji w związku ze świadczeniem oraz korzystaniem z usług w chmurze w procesach projektowania, produkowania i utrzymywania oprogramowania oraz usług wspierających komunikację firm, marketing, public relations oraz relacje inwestorskie, w powiązaniu z certyfikatem ISO/IEC 27001 IS 714152 i zgodnie z Deklaracją Stosowania Klient wersja 2021.10 z 17.10.2021 i z Deklaracją Stosowania Dostawca wersja 2021.10 z 17.10.2021.

 

ISO 27018:2019

czyli dostawca usługi w chmurze ze specjalną uwagą podchodzi do danych osobowych

ISO 27018 jest kolejnym po ISO 27017 uzupełnieniem standardu ISO 27001 dedykowanym w szczególności dostawcom rozwiązań chmurowych. Koncentruje się na ochronie danych osobowych, pomagając rozwiać obawy klientów i zapewnić im poczucie spokoju.

Zachowanie zgodności ze standardem wymaga od dostawcy usługi w chmurze m.in. przetwarzania danych zgodnie z instrukcjami klientów, wypełniania określonych obowiązków informacyjnych względem klientów oraz dokumentowania procesów. Tak! W wielu wymogach norma pokrywa się z wymogami RODO/GDPR.

Wybór dostawcy posiadającego taki certyfikat daje poczucie bezpieczeństwa. Dodatkowo sama usługa będzie prawdopodobnie tańsza. Dlaczego? W przypadku certyfikowanego dostawcy najczęściej unikniemy konieczności audytowania go we własnym zakresie. To duża oszczędność zarówno wysiłku, jak i pieniędzy w przypadku kiedy takie specjalistyczne działanie trzeba zlecić firmie trzeciej. Wprawdzie firma korzystająca z usługi w chmurze nie jest zobligowana literalnie przez prawo do przeprowadzenia takich audytów dostawcy, ale musi korzystać wyłącznie z usług podmiotów, które zapewnią, że przetwarzanie odbywa się zgodnie z prawem. Certyfikacja ISO jest dobrym sposobem, który pozwala wykazać, że powierzono przetwarzanie danych dostawcy dającym gwarancję - w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby wdrożenia środków technicznych i organizacyjnych oraz przetwarzania danych osobowych zgodnie z prawem. 

 

Zakres Certyfikacji netPR.pl:

ISO 27018

Zasady i dobre praktyki mające na celu ochronę informacji umożliwiających identyfikację osób, których dane są przetwarzane w chmurze w związku z procesami projektowania, produkowania i utrzymywania oprogramowania oraz usług wspierających komunikację firm, marketing, public relations oraz relacje inwestorskie, w powiązaniu z certyfikatem ISO/IEC 27001 IS 714152 i zgodnie z Deklaracją Stosowania wersja 2021.10 z 17.10.2021