Sari la conținut

ISO/IEC 27017:2015: cum să creșteți securitatea serviciilor cloud și încrederea clienților

  • de
ISO/IEC 27017:2015 в облаке

Cloud-ul a încetat de mult să mai fie doar o infrastructură IT convenabilă. Pentru afacerile din Kazahstan, Uzbekistan, Georgia și Kârgâzstan, acesta este deja un mediu de lucru în care sunt stocate datele clienților, documentele financiare, CRM-ul, poșta corporativă și chiar procesele critice de business. Dar, odată cu comoditatea, apare și întrebarea principală: cum le puteți demonstra clienților și partenerilor că mediul cloud este cu adevărat protejat? Aici intră în prim-plan standardul ISO 27017 — un ghid practic pentru protecția serviciilor cloud, destinat furnizorilor și utilizatorilor de Cloud.

Ce este ISO/IEC 27017:2015 și de ce este important

ISO/IEC 27017:2015 este un standard internațional care completează ISO/IEC 27001 și se concentrează anume pe securitatea serviciilor cloud. Dacă ISO 27001 stabilește cadrul general pentru managementul securității informației, atunci ISO 27017 adaugă măsuri speciale de control pentru modelul cloud: cine și pentru ce este responsabil, cum se delimitează accesul, cum se gestionează mediile virtuale și cum se reduc riscurile la transferul datelor în Cloud.

Pentru afaceri acest lucru este deosebit de important, deoarece în cloud responsabilitatea este întotdeauna împărțită. Furnizorul răspunde pentru o parte a infrastructurii, iar clientul — pentru setările de acces, utilizatori, configurarea serviciilor și modul de lucru cu datele. În practică, multe incidente apar nu din cauza unei „spargeri a cloud-ului”, ci pentru că una dintre părți nu își înțelege zona de responsabilitate.

Tocmai de aceea standardele de securitate pentru cloud computing devin nu o simplă formalitate, ci un instrument de încredere. Atunci când o companie arată că utilizează abordări internaționale recunoscute pentru protecția mediului Cloud, îi este mai ușor să treacă verificările partenerilor, să participe la licitații și să convingă clienții că datele lor sunt sub control.

Ce sarcini rezolvă standardul ISO 27017

Valoarea principală a standardului constă în faptul că transformă „securitatea cloud-ului”, ca noțiune abstractă, în acțiuni concrete de management și tehnice. El ajută la stabilirea unor reguli clare atât pentru furnizorul de servicii cloud, cât și pentru organizația-client.

Înainte de a implementa măsurile de control, este important să înțelegem unde se ascund, de obicei, principalele riscuri:

  • distribuirea neclară a responsabilităților între furnizor și client;
  • drepturi de acces excesive pentru angajați și contractori;
  • control slab al modificărilor în infrastructura cloud;
  • protecție insuficientă a mașinilor virtuale și a panourilor administrative;
  • lipsa de transparență privind copierea de rezervă, ștergerea și returnarea datelor;
  • riscuri de scurgere a informațiilor la utilizarea resurselor cloud partajate;
  • jurnalizare slabă a evenimentelor și monitorizare insuficientă a activității suspecte.

Această listă arată bine o idee simplă: cloud-ul nu devine sigur „în mod implicit”. El devine sigur atunci când procesele, rolurile și controlul sunt configurate la fel de atent ca un pilot automat bun într-un avion: sistemul ajută, dar fără disciplina echipajului nu se poate ajunge prea departe.

Măsuri de control pentru furnizorii de servicii cloud

Pentru furnizori, ISO/IEC 27017 stabilește un nivel mai înalt de transparență și control. Clienții vor să înțeleagă unde se află datele lor, cum sunt izolate mediile lor de cele ale altor chiriași și ce se întâmplă în cazul unui incident.

Este important ca furnizorul să asigure reguli clare în următoarele direcții:

Delimitarea rolurilor și responsabilităților

Clientul trebuie să vadă clar ce măsuri de securitate sunt asigurate de furnizor și care rămân în responsabilitatea sa. Acest lucru reduce riscul unor așteptări false și al unor breșe de protecție.

Protecția mediului virtual

Este necesar să fie controlate crearea, modificarea și ștergerea mașinilor virtuale, containerelor și instanțelor cloud, precum și protejarea imaginilor și șabloanelor împotriva modificărilor neautorizate.

Gestionarea accesului utilizatorilor privilegiați

Administratorul cloud este aproape ca o persoană cu o cheie universală pentru întreaga clădire. De aceea, acțiunile acestor utilizatori trebuie controlate strict, jurnalizate și revizuite periodic.

Ștergerea sigură și returnarea datelor

După încheierea contractului, clientul trebuie să înțeleagă exact cum îi vor fi returnate datele și în ce mod informația reziduală va fi ștearsă în siguranță din mediul furnizorului.

Monitorizarea și reacția la incidente

Pentru furnizor este important nu doar să înregistreze evenimentele, ci și să aibă o procedură clară de notificare, investigare și interacțiune cu clientul în cazul incidentelor de securitate.

Ce trebuie să controleze utilizatorii Cloud

Nici organizațiile-client nu pot pur și simplu să „lase totul pe seama furnizorului”. Chiar și cel mai puternic furnizor nu va putea proteja afacerea de parole slabe, acordarea haotică a drepturilor și de angajații care păstrează documente sensibile în foldere deschise.

Utilizatorii cloud ar trebui să acorde atenție următoarelor măsuri:

Configurarea drepturilor de acces

Accesul trebuie acordat conform principiului privilegiilor minime necesare. Cu cât există mai puține drepturi inutile, cu atât este mai mic riscul de eroare sau abuz.

Controlul configurațiilor

Configurarea incorectă a spațiilor de stocare, rețelelor, API-urilor și panourilor de administrare este una dintre cele mai frecvente cauze ale incidentelor în Cloud.

Clasificarea datelor

Este necesar să se stabilească din timp ce date pot fi plasate în cloud, care necesită criptare suplimentară și care este mai bine să fie păstrate în medii izolate.

Verificarea condițiilor contractuale

Este important să se analizeze SLA-ul, condițiile de backup, localizarea geografică a stocării datelor, procedura de notificare în caz de incidente și responsabilitatea părților.

Instruirea angajaților

Chiar și cel mai bun standard ISO 27017 nu funcționează fără oameni care înțeleg cum să utilizeze în siguranță serviciile cloud în activitatea de zi cu zi.

După implementarea acestor măsuri, compania primește nu doar o „bifă la securitate”, ci un sistem clar de gestionare a riscurilor. Pentru afacere, acest lucru înseamnă mai puține întreruperi, procese mai previzibile și mai multă încredere din partea clienților.

Cum ajută ISO 27017 la consolidarea încrederii clienților

Cum ajută ISO 27017 la consolidarea încrederii cliențilorAtunci când o companie lucrează cu cloud-ul, clientul îi încredințează, de fapt, nu doar un serviciu, ci și datele sale, reputația și, uneori, chiar continuitatea afacerii. De aceea, încrederea nu se construiește pe promisiuni, ci pe practici confirmate.

În acest sens, standardele de securitate ale cloud computing-ului joacă rolul unui limbaj internațional clar între companie, client și partener. Dacă o organizație a implementat procese conform ISO/IEC 27017, aceasta înseamnă că aspectele legate de acces, monitorizare, distribuirea responsabilităților și protecția mediului cloud sunt abordate sistemic, nu „în funcție de situație”.

Pentru companiile care activează pe piețele din Asia Centrală și Caucaz, acesta este și un avantaj competitiv. Clienții internaționali evaluează tot mai des furnizorii nu doar după preț, ci și după maturitatea gestionării riscurilor. De aceea, certificarea ISO 27017 în Kazahstan și în țările vecine devine tot mai relevantă pentru companiile IT, furnizorii SaaS, centrele de date, proiectele fintech și organizațiile de servicii.

Cui îi este deosebit de necesar standardul ISO 27017

Standardul aduce cele mai mari beneficii celor care:

  • oferă servicii cloud;
  • stochează în cloud date personale, financiare sau sensibile din punct de vedere comercial;
  • trec prin audituri din partea clienților sau investitorilor;
  • participă la licitații și proiecte internaționale;
  • doresc să reducă riscurile de scurgeri de date, întreruperi și reclamații din partea clienților.

Dacă firma dumneavoastră construiește deja un sistem de securitate a informațiilor, este util să corelați măsurile de control din cloud cu arhitectura generală de protecție. În acest context, merită să analizați serviciul privind ISO/IEC 27017 și să evaluați cum poate fi adaptată implementarea standardului pentru afacerea dumneavoastră.

Pentru companiile care vor să crească, să lucreze cu clienți mari și să își consolideze reputația, ISO/IEC 27017 devine un argument puternic în favoarea unei abordări mature a securității. Iar echipa „Sistem Management” din CSI poate ajuta să parcurgeți acest drum mai rapid: de la înțelegerea cerințelor până la pregătirea pentru certificare și consolidarea încrederii în afacerea dumneavoastră.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

TОО „System Management” este specializată în furnizarea de servicii de consultanță, instruire și certificare a sistemelor de management în conformitate cu standardele internaționale ISO, inclusiv ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 27701, ISO 50001, ISO 13485 și altele.

Misiunea noastră constă în furnizarea unor servicii de înaltă calitate în domeniul dezvoltării și certificării sistemelor de management, care aduc beneficii reale clienților noștri prin utilizarea unor soluții eficiente și flexibile, adaptate cerințelor și cunoștințelor unice ale fiecărui client.

E-mail:
info@bcert.org

Telefon:

+37253686541

WhatsApp:

+37253686541

Розроблено компанією Ticket to Online

RO
RU EN KK UZ TR KY FA HY AZ KA RO