Να εμπιστευτούμε την μεταφορά των υποδομών μας ΙΤ στο σύννεφο;

Όλο και περισσότερες επιχειρήσεις επιλέγουν τη μετάβαση υποδομών και υπηρεσιών σε υποδομές cloud με στόχο τη μείωση του κόστους και την αύξηση της ευελιξίας. Η νέα τεχνολογία ωστόσο εισάγει νέους – έως τώρα άγνωστους – κινδύνους ως προς την ασφάλεια των διακινούμενων πληροφοριών.
Οι υποδομές cloud και οι διαδικασίες διαχείρισης και διασφάλισής τους αποτελούν πρόκληση για τους χρήστες, καθώς οι πάροχοι δεν προσφέρουν πάντοτε επαρκείς πληροφορίες για τα μέτρα ελέγχου ασφάλειας πληροφοριών, τις διαδικασίες επιχειρησιακής συνέχειας ή ακόμα και τα επίπεδα εξυπηρέτησης και ποιότητας των παρεχόμενων υπηρεσιών. Η απλή μεταβίβαση του κινδύνου στον πάροχο μέσω μιας τυπικής σύμβασης ουσιαστικά δεν μπορεί να καλύψει τις επιπτώσεις εκδήλωσης ενός περιστατικού ασφαλείας ή μη διαθεσιμότητας, αφού αυτό θα πλήξει καίρια την αξιοπιστία της εταιρείας και ενδέχεται να επιφέρει μη μεταβιβάσιμες, σοβαρές οικονομικές και διοικητικές κυρώσεις (π.χ. σε περίπτωση διαρροής προσωπικών δεδομένων ή στοιχείων πιστωτικών καρτών).

Στο νέο περιβάλλον που διαμορφώνεται, η εφαρμογή Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών κρίνεται απαραίτητη, αφού αποτελεί το de-facto συστηματικό εργαλείο για τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση των κινδύνων. Το πρότυπο ISO 27001:2005 για τη Διαχείριση της Ασφάλειας Πληροφοριών καθώς και το ISO 22301:2012 για τη Διαχείριση της Επιχειρησιακής Συνέχειας παρέχουν το αναγκαίο τεχνικό και διοικητικό υπόβαθρο προκειμένου μια επιχείρηση να εξερευνήσει το πλήρες φάσμα ελέγχων και διαδικασιών που θα πρέπει να καλύψει, είτε ή ίδια είτε μέσω σχετικών απαιτήσεων και συμβατικών προβλέψεων από τον πάροχο υπηρεσιών Cloud.

Ήδη ο Διεθνής Οργανισμός Τυποποίησης (ISO) προετοιμάζει τα πρότυπα καθοδήγησης ISO 27017 και ISO 27018 που διευκρινίζουν την εφαρμογή των μέτρων ελέγχου του ISO 27001 σε οργανισμούς που χρησιμοποιούν υπηρεσίες Cloud. Επιπλέον ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) έχει εκδώσει Πλαίσιο Κατευθύνσεων για τη διασφάλιση των πληροφοριών στο Cloud.

Τι θα πρέπει να κάνει λοιπόν μια επιχείρηση που επιθυμεί να αξιοποιήσει τις νέες δυνατότητες του Cloud?

  • Η ανάπτυξη και εφαρμογή Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών ISO 27001 είναι αναγκαία ώστε αφενός η Διοίκηση να αποκτήσει πλήρη εικόνα των κινδύνων στους οποίους είναι εκτεθειμένη και να επιλέξει εκείνους που θα αντιμετωπίσει και εκείνους που θα μεταθέσει στον πάροχο Cloud, απαιτώντας κατάλληλες προβλέψεις στις συμβάσεις, διαδικασίες και υποδομές αυτού. Αφετέρου, η πιστοποίηση ISO 27001 θα αποτελέσει τεκμήριο αξιοπιστίας προς τους πελάτες που ενδέχεται να διατηρούν αμφιβολίες για τη χρήση υποδομών Cloud.
  • Η ανάπτυξη και εφαρμογή Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας ISO 22301 θα οδηγήσει στην υλοποίηση Σχεδίων Ανάκαμψης προκειμένου η εταιρεία να αντιμετωπίσει εγκαίρως και αποτελεσματικά ενδεχόμενη αστοχία στις υπηρεσίες Cloud και να μεταβεί σε εφεδρικές λύσεις.
  • Η επιλογή παρόχων Cloud και συνεργατών που είναι ήδη πιστοποιημένοι με τα πρότυπα ISO 27001, ISO 22301 και ISO 20000 για τη διαχείριση υπηρεσιών πληροφορικής αποτελεί αναμφισβήτητο εχέγγυο για υψηλό επίπεδο ποιότητας, συνέχειας και ασφάλειας των παρεχόμενων υπηρεσιών. Επιπλέον καθιστά την ανταλλαγή πληροφοριών και το χειρισμό περιστατικών ασφαλείας και διακοπών ιδιαιτέρως αποτελεσματικά.
  • Η συμμόρφωση με συμπληρωματικές κανονιστικές απαιτήσεις και νομοθετικές απαιτήσεις, όπως το πρότυπο PCI-DSS για τη διενέργεια συναλλαγών με πιστωτικές κάρτες, η Πολιτική Διασφάλισης Απορρήτου των Επικοινωνιών για την παροχή τηλεπικοινωνιακών υπηρεσιών καθώς και η νομοθεσία για την Προστασία των Προσωπικών Δεδομένων θα πρέπει από την πρώτη στιγμή να αποτελέσει γνώμονα για κάθε επένδυση, τεχνολογική και διοικητική επιλογή αφού ενδεχόμενη παραβίαση ενδέχεται να επιφέρει σοβαρές οικονομικές, διοικητικές ή και ποινικές κυρώσεις.

H PRIORITY, με εμπειρία σε περισσότερα από 1.000 πιστοποιημένα συστήματα διαχείρισης και κορυφαία εξειδίκευση στην Ασφάλεια Πληροφοριών, είναι σε θέση να οδηγήσει εταιρείες και οργανισμούς στην ανάπτυξη Ολοκληρωμένων Συστήματος Διαχείρισης, τα οποία θα διασφαλίσουν την αξιοπιστία και τη συνέχεια των παρεχόμενων υπηρεσιών, θα αποτρέψουν αποκλίσεις από την ισχύουσα νομοθεσία και προσδώσουν αυξημένη αξία και απόδοση στις επενδύσεις και τις νέες τεχνολογίες.

Κατηγορία Η ΓΝΩΜΗ ΜΑΣ