Conformitatea este una dintre cele mai mari preocupări pentru firmele din ziua de azi. Și așa și este firesc. Fără a avea implementate cele mai stricte standarde de reglementare, utilizatorii finali și clienții rămân expuși impactului posibil catastrofal al neconformității organizației. Mai mult, însăși organizația va avea de suportat consecințe dure dacă nu își îndeplinește obligațiile de conformitate, fie prin procese interne incomplete, fie prin amenințări externe prin breșe de rețea. Orice neîndeplinire a acestor obligații poate face organizația să suporte repercusiuni de genul amenzilor statutare, proceselor, incidentelor de securitate informațională și daunelor serioase de imagine.
A fost o vreme când păstrarea securității datelor și detaliile erau o chestiune simplă de măsuri stricte locale – implementarea unui soft de criptare și asigurarea stocării sigure a datelor și fișierelor. Însă odată cu apariția și adoptarea în masă a serviciilor de cloud, conformitatea a devenit o chestiune mai complexă. Și rămâne la fel de important să o faci cum trebuie. Deci fie că businessul tău a trecut deja la cloud cu Software sau Infrastructure as a Service, fie că abia acum încearcă cu degetul marea instrumentelor de colaborare, este vital să te asiguri că bifezi toate rubricile de conformitate și că respecți toate standardele relevante, pentru a asigura securitatea utilizatorilor finali.
Pentru aceasta, ai nevoie să realizezi scara și complexitatea cloud-ului. Acesta fiind peste tot. În spatele atât de multor lucruri pe care le facem și atât de multor aplicații pe care le folosim cotidian, fără ca măcar să ne gândim la el. Proliferarea aplicațiilor de colaborare și partajare de fișiere cum sunt Microsoft Teams și Dropbox poate părea o nimica toată, dar ele sunt soluții bazate pe cloud, care testează și provoacă datele și procedurile de securitate ale firmei tale, indiferent dacă te-ai gândit sau nu la asta.
Conformitatea în cloud
Serviciile de cloud de la baza operațiunilor tale te vor ajuta să stabilești cât de mult tu, ca firmă, trebuie să ții cont de conformitatea în cloud. Ca un preambul, transferul, stocarea, backup-ul și accesul la date vor necesita toate conformitate în cloud, fie că le folosești în mod curent sau doar ocazional.
În timp ce conformitatea era cândva o treabă doar a echipelor IT, astăzi ea trebuie să reprezinte o discuție care are loc cu alte departamente din firma ta. Conformitatea în cloud implică procese și proceduri interne, iar deciziile trebuie luate ținând cont de monitorizare și audituri, guvernanță, securitate, protecția datelor, managementul riscurilor și aspectele juridice. Conformitatea nu mai înseamnă doar a asigura stocarea datelor pe un hard-disk criptat sau în spatele unor parole, ci este o preocupare a întregii organizații.
Conformitatea în cloud și securitatea
Conformitatea și securitatea sunt printre principalele motive pentru care unele organizații ezită să adopte soluții de cloud. Și e aproape imposibil să nu vorbești despre securitate atunci când discuți despre cerințe de conformitate, întrucât sistemele necesare pentru a realiza conformitatea sunt deseori implementate ca măsuri de „securitate”. Sunt însă justificate preocupările despre securitate și conformitate în relație cu serviciile de cloud? Poate că nu.
Ca la orice „securitate”, e nevoie să înțelegem riscurile și să încercăm să le reducem, fie că vorbim despre infrastructura locală sau despre softul găzduit în cloud. În această privință, e vorba despre procesele tale interne și despre procedurile de raportare, despre cum lucrează ele pentru și alături de serviciile tale din cloud, toate acestea asigurând funcționarea sigură și conformă a organizației tale. Nu contează ce fel de activitate derulezi, fie că produci bunuri sau prestezi un serviciu, cu cât îți standardizezi mai mult operațiunile, cu atât vei fi mai eficient.
Asta e adevărat și pentru conformitatea în cloud. Pe măsură ce muți unele funcții către cloud, devine o obișnuință să generezi funcțiile operaționale de securitate și conformitate asociate lor, de fiecare dată când faci migrarea. Cu cât sunt mai uniforme aceste operațiuni de conformitate, cu atât va fi mai ușor să implementezi securitatea și să răspunzi la cerințele de audit.
Implementează-ți corespunzător sistemele interne și chiar și cea mai ermetică firmă, care lucrează în cel mai reglementat dintre domenii, va putea concura și va putea rămâne conformă într-un cadru de reglementare în permanentă schimbare.
Responsabilitățile furnizorului de servicii de cloud
Conformitatea în cloud asigură că furnizorii de servicii de cloud respectă cerințele de conformitate ale clienților lor. Într-o anumită măsură. Ei trebuie să aibă implementate politici și proceduri aferente transferului, stocării, backup-ului, obținerii și accesului la date, însă clienții nu trebuie să presupună că furnizorii de servicii de cloud respectă toți aceleași standarde. Și cu siguranță ei nu trebuie să spere că furnizorul de servicii va respecta anumite cerințe foarte specifice sau unice.
De fapt, mulți furnizori de cloud public, inclusiv AWS și Microsoft Azure, subliniază faptul că conformitatea în cloud reprezintă o responsabilitate duală, împărțită între furnizor și client. Pentru că în timp de furnizorii de cloud au anumite obligații contractuale față de clienții lor, clienții înșiși trebuie să-și vadă propriul interes. Dacă ceva nu merge bine, nu vei putea să te scuzi dând vina pe „externalizare”. Cel puțin, asta înseamnă a realiza o due diligence atunci când îți alegi furnizorul de servicii de cloud, și apoi să te asiguri că nivelul de conformitate oferit de fiecare serviciu este aliniat cerințelor specifice ale firmei tale.
Conformitatea datelor ca responsabilitate comună
Pe vremuri era foarte simplu: datele erau în centrul de date, iar echipa IT le păstra în siguranță. Astăzi, cu proliferarea dispozitivelor mobile și a modelelor de lucru Bring Your Own Device, informațiile importante ale firmei se află în mai multe locuri decât în trecut. Dacă punem alături și utilizarea crescândă a aplicațiilor și serviciilor de cloud, ca să avem o imagine completă a datelor tale – nu discutăm despre îndeplinirea cerințelor statutare la toate nivelurile – avem de-a face cu o provocare mai mare ca oricând.
Multe firme fac greșeala de a presupune că odată ce datele sunt trimise în cloud, toată răspunderea pentru securitatea și conformitatea datelor trece la furnizorul de cloud. Nu e adevărat.
Imediat ce firma începe migrarea datelor către cloud, responsabilitatea pentru securitatea și conformitatea acelor date devine una comună.
Ca regulă generală, să privim răspunderea pentru securitate și conformitate în felul următor:
- Clienți: Responsabili de securitate și conformitate în aplicația cloud
- Furnizori SaaS: Responsabili de securitate și conformitate în cloud
- Furnizori de servicii de cloud: Responsabili de securitatea și conformitatea cloud-ului
Dacă firma ta nu a achiziționat cumva servicii la etajele superioare ale „turnului cloud”, atunci vei avea responsabilitatea implementării și folosirii oricăror și a tuturor funcțiilor de securitate și conformitate, și a asigurării că politicile și procedurile tale locale se replică și în cloud.
Elemente de conformitate de analizat
În timp ce încerci să migrezi o parte a rețelei tale către cloud, te va ajuta să ai un răspuns la următoarele aspecte legate de conformitate:
- Controlul accesului: Securitatea datelor este esențială pentru conformitate, deci trebuie să știi cine are acces și la ce, inclusiv pentru cei din organizația ta și cei ce lucrează pentru furnizorul tău de servicii de cloud (inclusiv contractanți terți).
- Managementul activelor: Furnizorul de servicii de cloud va fi responsabil cu gestionarea activelor propriei infrastructuri, iar tu vei rămâne responsabil cu gestionarea activelor firmei tale, inclusiv a sistemelor de operare și aplicațiilor găzduite.
- Va trebui să știi ce terți sunt responsabili cu auditarea conformității în cloud, și să știi dacă firma ta poate avea un audit al conformității în cloud.
- Rapoarte de conformitate. Ce rol au rapoartele furnizorului tău de cloud? Le poți accesa atunci când ai nevoie?
- Managementul configurației: Cine e responsabil în caz de configurații greșite?
- Criptarea datelor: În general conformitatea are la bază criptarea datelor, fie statică, fie din mers, și probabil va trebui să o faci și local, și în cloud.
- Adresa datelor: Știi unde se află datele tale? Auditorii s-ar putea să îți ceară această informație, dar nu toți furnizorii de servicii de cloud o pun la dispoziție.
- Protecția datelor: În ce măsură îți va proteja informațiile furnizorul de cloud ales de tine? Trebuie să iei măsuri suplimentare pentru a asigura un nivel adecvat de protecție?
- Stocarea datelor: Ce se va stoca și ce nu se va stoca în cloud, și de ce?
- Recuperarea din dezastre: Ce legi și reglementări se aplică firmei tale, în cazul unei avarii? Furnizorul tău de servicii de cloud te acoperă?
- Due diligence: Știi cum va fi gestionată aceasta?
- Funcțiuni e-discovery: Dacă firma ta este chemată în instanță, poți avea un acces rapid la toate datele necesare?
- Asiguratori: Multe firme de asigurări care oferă asigurare pentru întreruperea activității sau pierderea datelor vor dori să înțeleagă riscurile potențiale și amploarea lor înainte de a semna ceva, iar cloud-ul și geolocația pot fi un factor în luarea deciziilor.
- Cerințe de securitate: Ce tipuri de securitate necesită firma ta de la un furnizor de servicii de cloud? Pentru conformitate, trebuie să înțelegi nivelul de securitate pe care trebuie să îl ai.
- Resurse partajate sau private: În funcție de cerințele specifice ale firmei tale, poți solicita o locație de date privată în centrul de date al furnizorului tău de servicii de cloud.
- SLA-uri: Legile și reglementările aplicabile activității tale pot implica un service level agreement. Înainte de a semna ceva, asigură-te că asta nu îți va limita tipurile de servicii pe care le poți folosi.
Parteneriat cu o firmă dedicată
Nu trebuie ascuns faptul că sunt multe la care trebuie să te gândești atunci când vrei să te asiguri că ești conform, în timp ce beneficiezi la maxim de numeroasele avantaje ale cloud-ului. E posibil ca, pentru firma ta, să aibă sens încheierea unui parteneriat cu o firmă specializată pe conformitate. De exemplu, parteneriatul nostru cu specialiștii în securitate informatică de la MetaCompliance ne-a ajutat să respectăm cele mai stricte standarde internaționale de securitate informatică, la toate nivelurile activității noastre. Informațiile de specialitate și softul lor ne-au permis să ne întărim cultura conformității prin procese, politici și proceduri de raportare rafinate, dar și să ne asigurăm că echipele noastre sunt instruite și conștiente de aspectele relevante și mereu în schimbare ale securității informatice.
Însă fie că optezi pentru due diligence, fie că decizi să apelezi la suportul unui partener specialist, a bifa toate rubricile de conformitate și reglementare este esențial pentru asigurarea celui mai înalt nivel de protecție pentru firma ta, dar și pentru clienții tăi.
Pentru a afla mai multe despre serviciile noastre, contactează astăzi una dintre echipele noastre.