audyt i bezpieczeństwo chmury

audyt chmury

Jak weryfikować bezpieczeństwo chmury i dostawców usług Data Center? 

Pytanie nie jest banalne. Przedstawiam kilka ważnych podpowiedzi, które mogą pomóc we własnej ocenie.
Z moich wieloletnich doświadczeń dostawcy wynika, że nie jest to wiedza powszechna, przez co wiele wyborów jest podyktowanych przekonaniem lub powierzchowną weryfikacją.

Znajomość  punktów kontrolnych,  certyfikatów, dobrych praktyk, metodyk audytu,  pomaga w weryfikacji rzetelności dostawcy, może też być wskazówką do doskonalenia własnego „warsztatu”.

Chmura publiczna/prywatna, IaaS, PaaS, realizowane przez uznanych globalnych dostawców w zdecydowanej większości spełniają rygorystyczne standardy bezpieczeństwa. To duże budżety, najnowsze inwestycje,  technologie, zespoły inżynierów, certyfikowane obiekty i standardy działania.

Oczywiście najwięksi  globalni dostawcy otwierają furtkę na możliwość przeprowadzenia np. audytu bezpieczeństwa po uprzednim uzyskaniu zgody. Praktyka wskazuje, że chęć rozmów jest wprost proporcjonalna do skali potencjalnego lub aktualnego przychodu, który idzie za Klientem. Druga strona medalu to oprócz formalnej zgody i chęci współpracy, musimy być pewni profesjonalizmu, warsztatu, najwyższych standardów Partnera, któremu zlecamy realizację audytu.

Należy pamiętać, że oprócz weryfikacji procesów, jeśli chcemy podjąć się realizacji security assessment, w skład którego wchodzić będą np. testy penetracyjne, to bierzemy pełną odpowiedzialność za jego możliwe negatywne skutki. Na takie działania decydują się najczęściej podmioty za którymi stoją największe kancelarie prawnicze i sprawdzone uznane firmy konsultingowe z wysokimi polisami ubezpieczeniowymi.

Wstępną weryfikacją dostawcy usług Data Center może być sprawdzenie poniżej wymienionych certyfikatów, ze szczególnym uwzględnieniem czy dotyczy procesu, czy też organizacji, oraz czy są certyfikowane, czy to tylko deklaracja  działania z ich standardami. Nie oznacza to, że usługodawca Data Center powinien posiadać je wszystkie. Jest to dla nas wyznacznik staranności działania, a jeśli to certyfikacja, to znak, że ktoś za nas zrealizował audyt wg. rygorystycznych wytycznych i standardów, które są weryfikowane jeśli wystąpi się o recertyfikację.

CERTYFIKACJE DATA CENTER

EPI-DCOS  – zasady zarządzania operacyjnego oraz utrzymania  i obsługi centrum danych.
https://www.epi-ap.com/standards/4/8/89/Data_Centre_Operations_Standard_(DCOS)

TIER – wydawany przez  Uptime Institute,  poziom od I-IV (im wyższy faktor tym wyższy standard), wymogi  fizyczne i techniczne
https://www.gov.pl/web/popcwsparcie/klasyfikacja-tier-centrum-danych-datacenter

Data Center Standards (Tiers I-IV)

ANSI TIA-942 – rating 1-4, Standard Infrastruktury 

https://tiaonline.org/products-and-services/tia942certification/tia-942-certifications-ratings/

ISO IEC 27001 – system zarządzania bezpieczeństwem informacji 

Dodatkowe informacje: https://www.techerati.com/features-hub/opinions/explaining-the-new-family-of-iso-data-centre-standards/

METODYKA

Istnieją inicjatywy i standardy wg. których można w sposób metodyczny zweryfikować rzetelność dostawcy lub własną organizację:

CSA – Cloud Security Alliance  

Polish CloudStandard wdrożeń przetwarzania informacji w chmurze obliczeniowej (Związek Banków Polskich)

Cloud Computing Risk Assessment – ENISA /The European Union Agency for Cybersecurity

dodatkowo wart odnotowania dokument:

CIS Critical Security Controls Mapping to Cloud Security Alliance Cloud Control Matrix

Jeśli dostawca nie chce podjąć się podjąć żadnej weryfikacji, nie dysponuje  certyfikatami, nie spełnia większości punktów kontrolnych to powinna być dla nas „pomarańczowe” jak nie „czerwone” światło i powinno uruchomić proces analizy ryzyka.
Wraca też kwestia Twojej siły nabywczej i chęci słuchania Twoich racji.
 
CO MOŻESZ NEGOCJOWAĆ I WERYFIKOWAĆ
 
  • oprócz warunków finansowych masz prawo negocjować indywidualne SLA
  • weryfikuj ofertę  ze specyfikacją do umowy
  • jeśli zależy Ci na konkretnych parametrach technicznych, środowiskowych, standardach obsługi  masz prawo powiedzieć sprawdzam i wpisać do zamówienia
  • masz prawo pytać jaki jest stack technologiczny 
  • masz prawo zawrzeć indywidualną umowę o przetwarzaniu danych osobowych
  • masz prawo negocjować indywidualne kary umowne
  • masz prawo negocjować i wpisać do kontraktu możliwość przeprowadzenia audytu ze wskazaniem czego ma dotyczyć, jaki ma cel,  czas i konsekwencje
  • w zdecydowanej większości przed podpisaniem zobowiązania masz możliwość uruchomienia środowisk testowych i weryfikacji tych parametrów na których Ci zależy.
To wszystko zależy od Twojej determinacji, możliwości zakupowych, skali – od Ciebie zależy gdzie umieścisz swoje krytyczne zasoby, kto i w jaki sposób będzie dbał o ciągłość działania Twoich systemów. Zawsze masz prawo powiedzieć sprawdzam, szczególnie gdy działasz na rynku regulowanym.