Zgodność chmury z przepisami to sztuka i nauka przestrzegania wszystkich regulacji i norm branżowych, zarówno lokalnych jak i międzynarodowych, podczas korzystania z chmury. Do znanych regulacji w tym zakresie zaliczają się na przykład ustawa Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) i ustawa Gramm-Leach-Bliley Act (GLBA).
Kiedy firma zdecyduje się przenieść swoje dane do chmury, powinna określić, w jaki sposób dostawca rozwiązania pomoże jej zapewnić zgodność z przepisami prawa, takimi jak europejskie Rozporządzenie o ochronie danych osobowych (RODO) czy amerykańska ustawa HIPAA. Oczywiście tę kwestię należy rozważyć na samym początku, a nie dopiero po wyborze usługi.
Czasem jednak firmy zaczynają korzystać z chmury bez etapu planowania, co komplikuje cały proces. Jednym z podstawowych założeń chmury powinna być możliwość samoobsługi, tzn. klient powinien móc bez problemu samodzielnie ją skonfigurować, zmienić i opuścić.
Nie jest jednak jasne, kto po stronie klienta powinien się tym zajmować. Okazuje się, że w dzisiejszych czasach to może być każdy. Aby dział firmy mógł zacząć wysyłać swoje dane do chmury, potrzebna jest jedynie firmowa karta kredytowa. To zjawisko nie jest nowe i nazywa się szarą strefą IT (shadow IT). Z powodu charakterystycznych cech chmury, to pojęcie jest dziś bardzo często używane.
Zarządzanie chmurą
Zarządzanie to sprawowanie nadzoru nad działalnością biznesową przez kierownictwo wyższego szczebla i dyrektorów. Zarządzanie chmurą to rozszerzenie tego wpływu na chmurę. Zarządzanie ma krytyczne znaczenie.Bez niego zbyt wiele pytań dotyczących celów biznesowych pozostaje bez odpowiedzi, co z kolei znacznie utrudnia panowanie nad chmurą i zapewnianie jej bezpieczeństwa.
Zanim firma przeniesie swoje dane do chmury, powinna najpierw dokładnie określić cele. Cele powinny być zgodne z obowiązującymi przepisami prawa, regulacjami i umowami. Poza aspektami prawnymi zarządzanie chmurą ukierunkowuje pracowników na wspieranie firmy w osiąganiu wyznaczonych celów.
Poważne błędy mogą spowodować problemy z korzystaniem z chmury i uniemożliwić użytkownikom wykonanie zadań. Oprócz tego mogą być źródłem problemów prawnych, które swoje zakończenie znajdą w sądzie. Przedstawiciele zarządu i kadry kierowniczej muszą przykładać do chmury należytą uwagę.
Przepisy prawa i regulacje
Kiedy mowa o zgodności, na pierwszym miejscu muszą znajdować się kwestie prawne. Firmy i prawnicy muszą określić przepisy, których należy przestrzegać. Muszą też ustalić konsekwencje ewentualnego braku zgodności. Po zidentyfikowaniu przepisów ważne jest zadanie pytania na temat właściwych zabezpieczeń do wdrożenia, które pozwolą na zapewnienie zgodności z prawem i regulacjami.
Niektóre rozporządzenia, takie jak europejskie RODO, kładą bardzo duży nacisk na ochronę danych osobowych. Ponadto w RODO szczegółowo określono, gdzie takie informacje mogą być przetwarzane i przechowywane. Już sam sposób działania chmury może być problematyczny, jednak większość dostawców tego typu usług zapewnia środki, które umożliwiają spełnienie wymagań europejskiego rozporządzenia RODO.
Umowa stanowi formalne porozumienie między dwiema lub większą liczbą stron. Kiedy firma zawiera umowę, jest zobowiązana do przestrzegania jej postanowień. Złamanie umowy może skutkować poważnymi karami finansowymi.
Organizacja przetwarzająca lub przechowująca dane kart kredytowych prawdopodobnie zawarła umowy z firmami obsługującymi te karty, w których zobowiązała się do zaimplementowania określonych części normy Payment Card Industry-Data Security Standard (PCI-DSS).
Firma, która chce przetwarzać dane kart kredytowych podpisuje umowę, na mocy której zobowiązuje się spełnić 12 wymogów bezpieczeństwa zawartych w tej normie. Poziom ich implementacji zależy od rocznej liczby przetwarzanych transakcji.
Firma powinna również sprawdzić, czy w umowach z klientami nie określono działań, które może, a których nie może wykonywać w chmurze. Czy sposób i cele wykorzystania chmury — publiczne, prywatne, społecznościowe itd. — nie wypłyną na zgodność z przepisami?
Wiele firm implementuje środki bezpieczeństwa na podstawie norm, np. ISO 27001 lub NIST SP 800-53. Jeśli firma zdecyduje się korzystać z normy ISO 27001, musi przeszkolić pracowników w celu zapewnienia właściwych mechanizmów kontroli. Dotyczy to także chmury. Organizacja ISO wydzieliła nawet wymogi specyficzne dla chmury i przedstawiła je w normie ISO 27017.
Jednym ze sposobów na ocenę poziomu zgodności z przepisami prawa, regulacjami i umowami jest przeprowadzenie audytu. Audyty mogą być prowadzone wewnętrznie lub przez podmioty zewnętrzne. Audyt wewnętrzny, w którym udział biorą osoby z firmy, stanowi sposób samodzielnej oceny poziomu zgodności. Wyniki audytu wewnętrznego mogą być postrzegane jako wypaczone ze względu na ewentualną stronniczość w przedstawianych wnioskach.
W celu uzyskania bardziej obiektywnej opinii audyt można zlecić firmie zewnętrznej. Omawiane tu audyty odnoszące się do chmury są przeprowadzane przez dostawcę usługi.
Większość dostawców usług chmurowych nie zezwala klientom na wstęp do centrów danych w celu przeprowadzenia kontroli, więc trzeba polegać na kontrolach niezależnych stron trzecich.
Raporty pokontrolne
Wyniki audytu są przedstawiane w formie raportu pokontrolnego. Jego zawartość reguluje norma American Institute of Certified Public Accountants (AICPA). Każda firma powinna poprosić o raport pokontrolny SOC 2®. Raport SOC 2® jest przeznaczony dla organizacji świadczących usługi, takich jak dostawcy usług chmurowych. Przedstawia na przykład informacje na temat spełniania wymogów określonych w normie ISO 27001 lub NIST Cybersecurity Framework (CSF). Kontrola jest prowadzona pod kątem spełniania pięciu kryteriów normy AICPA, do których należą:
Raporty te mogą być typu 1 lub 2. Raport typu 1 przedstawia stan badanego systemu w określonym momencie oraz określa poziom adekwatności projektu i instalacji wymaganych środków bezpieczeństwa. Raport typu 2 ukazuje skuteczność operacyjną środków bezpieczeństwa w pewnym okresie, np. sześciu miesięcy.
Klient korzystający z usług chmurowych powinien poprosić o te raporty, choć dostawca może nie być chętny do ich udostępniania, ponieważ mogą zawierać wrażliwe informacje o jego firmie. Inną opcją jest raport SOC 3® przeznaczony do ogólnego użytku. Zawiera bardzo mało informacji o działalności biznesowej dostawcy usług chmurowych. Pozwala klientowi natychmiast stwierdzić, czy może korzystać z dostawcy usług chmurowych.
Powiązane artykuły
Powiązane badania