audyt i bezpieczeństwo chmury
Jak weryfikować bezpieczeństwo chmury i dostawców usług Data Center?
Pytanie nie jest banalne. Przedstawiam kilka ważnych podpowiedzi, które mogą pomóc we własnej ocenie.
Z moich wieloletnich doświadczeń dostawcy wynika, że nie jest to wiedza powszechna, przez co wiele wyborów jest podyktowanych przekonaniem lub powierzchowną weryfikacją.
Znajomość punktów kontrolnych, certyfikatów, dobrych praktyk, metodyk audytu, pomaga w weryfikacji rzetelności dostawcy, może też być wskazówką do doskonalenia własnego „warsztatu”.
Chmura publiczna/prywatna, IaaS, PaaS, realizowane przez uznanych globalnych dostawców w zdecydowanej większości spełniają rygorystyczne standardy bezpieczeństwa. To duże budżety, najnowsze inwestycje, technologie, zespoły inżynierów, certyfikowane obiekty i standardy działania.
Oczywiście najwięksi globalni dostawcy otwierają furtkę na możliwość przeprowadzenia np. audytu bezpieczeństwa po uprzednim uzyskaniu zgody. Praktyka wskazuje, że chęć rozmów jest wprost proporcjonalna do skali potencjalnego lub aktualnego przychodu, który idzie za Klientem. Druga strona medalu to oprócz formalnej zgody i chęci współpracy, musimy być pewni profesjonalizmu, warsztatu, najwyższych standardów Partnera, któremu zlecamy realizację audytu.
Należy pamiętać, że oprócz weryfikacji procesów, jeśli chcemy podjąć się realizacji security assessment, w skład którego wchodzić będą np. testy penetracyjne, to bierzemy pełną odpowiedzialność za jego możliwe negatywne skutki. Na takie działania decydują się najczęściej podmioty za którymi stoją największe kancelarie prawnicze i sprawdzone uznane firmy konsultingowe z wysokimi polisami ubezpieczeniowymi.
Wstępną weryfikacją dostawcy usług Data Center może być sprawdzenie poniżej wymienionych certyfikatów, ze szczególnym uwzględnieniem czy dotyczy procesu, czy też organizacji, oraz czy są certyfikowane, czy to tylko deklaracja działania z ich standardami. Nie oznacza to, że usługodawca Data Center powinien posiadać je wszystkie. Jest to dla nas wyznacznik staranności działania, a jeśli to certyfikacja, to znak, że ktoś za nas zrealizował audyt wg. rygorystycznych wytycznych i standardów, które są weryfikowane jeśli wystąpi się o recertyfikację.
CERTYFIKACJE DATA CENTER
EPI-DCOS – zasady zarządzania operacyjnego oraz utrzymania i obsługi centrum danych.
https://www.epi-ap.com/standards/4/8/89/Data_Centre_Operations_Standard_(DCOS)
TIER – wydawany przez Uptime Institute, poziom od I-IV (im wyższy faktor tym wyższy standard), wymogi fizyczne i techniczne
https://www.gov.pl/web/popcwsparcie/klasyfikacja-tier-centrum-danych-datacenter
https://www.colocationamerica.com/data-center/tier-standards-overview
ANSI TIA-942 – rating 1-4, Standard Infrastruktury
https://tiaonline.org/products-and-services/tia942certification/tia-942-certifications-ratings/
ISO IEC 27001 – system zarządzania bezpieczeństwem informacji
Dodatkowe informacje: https://www.techerati.com/features-hub/opinions/explaining-the-new-family-of-iso-data-centre-standards/
METODYKA
Istnieją inicjatywy i standardy wg. których można w sposób metodyczny zweryfikować rzetelność dostawcy lub własną organizację:
CSA – Cloud Security Alliance
- https://cloudsecurityalliance.org/research/cloud-controls-matrix/
- https://www.cybsecurity.org/pl/cloud-security-alliance-csa/
Cloud Computing Risk Assessment – ENISA /The European Union Agency for Cybersecurity
dodatkowo wart odnotowania dokument:
CIS Critical Security Controls Mapping to Cloud Security Alliance Cloud Control Matrix
- oprócz warunków finansowych masz prawo negocjować indywidualne SLA
- weryfikuj ofertę ze specyfikacją do umowy
- jeśli zależy Ci na konkretnych parametrach technicznych, środowiskowych, standardach obsługi masz prawo powiedzieć sprawdzam i wpisać do zamówienia
- masz prawo pytać jaki jest stack technologiczny
- masz prawo zawrzeć indywidualną umowę o przetwarzaniu danych osobowych
- masz prawo negocjować indywidualne kary umowne
- masz prawo negocjować i wpisać do kontraktu możliwość przeprowadzenia audytu ze wskazaniem czego ma dotyczyć, jaki ma cel, czas i konsekwencje
- w zdecydowanej większości przed podpisaniem zobowiązania masz możliwość uruchomienia środowisk testowych i weryfikacji tych parametrów na których Ci zależy.