Jak zapewnić klientów o bezpieczeństwie oferowanych usług chmury obliczeniowej?

Największą przeszkodą szerszego wykorzystania chmury w biznesie jest brak zaufania. Czy chmura jest tak bezpieczna, jak utrzymują to jej dostawcy? Certyfikacja STAR, rozwiązanie opracowane przez BSI we współpracy z CSA, zobowiązuje usługodawców do przestrzegania najlepszych praktyk rynkowych oraz ciągłego doskonalenia organizacji. W sierpniu 2016 roku BSI Group Polska certyfikowała pierwszego w Polsce dostawcę chmury obliczeniowej w zakresie CSA STAR.

Certyfikacja CSA STAR jest rozszerzeniem standardu ISO/IEC 27001 – międzynarodowej normy dotyczącej systemów zarządzania w zakresie bezpieczeństwa informacji. Standard ten jest powszechnie uznawany i szanowany, choć pewne kwestie traktuje zbyt ogólnie, aby w pełni zaspokoić wymagania poszczególnych sektorów i branż gospodarki. Certyfikacja CSA STAR wypełnia tę lukę, koncentrując się na obszarach bezpieczeństwa kluczowych dla sektora usług przetwarzaniadanych w chmurze obliczeniowej.

Macierz Kontroli Usług

W odpowiedzi na rosnące obawy biznesowe Cloud Security Alliance (CSA) stworzyła Macierz Kontroli Usług w chmurze obliczeniowej (Cloud Control Matrix, CCM). Macierz ta precyzuje obszary kontroli, uwzględniając przy tym wymogi bezpieczeństwa narzucone przez klientów korzystających z usług w chmurze. W ramach Certyfikacji CSA STAR oceniany jest każdy z 11 obszarów kontroli CCM pod kątem pięciu czynników pozwalających wskazać dojrzałość systemów dostawcy:

  • komunikacja i zaangażowanie interesariuszy,
  • polityki, plany i procedury oraz podejście systemowe,
  • umiejętności i wiedza fachowa,
  • własność, przywództwo i zarządzanie oraz
  • monitorowanie i dokonywanie pomiarów.

Dostawcy, certyfikowani pod kątem środków kontroli właściwych dla bezpieczeństwa danych w chmurze, nagradzani są złotym, srebrnym lub brązowym Certyfikatem CSA STAR, w zależności od skuteczności wprowadzenia systemu do organizacji. Znak ten daje jasny sygnał, jak wielką uwagę firma przykłada do ochrony swoich zasobów oraz powierzonych jej danych klientów.

Dla kogo CSA STAR?

Certyfikacja CSA STAR skierowana jest dla dostawców usług chmury obliczeniowej, operatorów hostingu oraz firm świadczących usługi outsourcingu IT w ramach własnej infrastruktury informatycznej. Uzyskanie certyfikatu wprowadza wartość dodaną w każdym obszarze funkcjonowania firmy. Nie o sam znaczek jednak tak naprawdę tutaj chodzi.

Wdrożenie standardów, procedur i wytycznych zdefiniowanych w normach ISO/IEC 27001 oraz ISO/IEC 27018, a więc dotyczących stricte tematu bezpieczeństwa danych osobowych w chmurze, a w końcu uzyskanie Certyfikacji CSA STAR pomagają w doskonaleniu organizacji oraz pozwalają porównać się z wynikami osiąganymi przez konkurencję. To daje pewność, że cała firma przyjmuje i rozumie znaczenie bezpieczeństwa danych w chmurze oraz prowadzi działania mające na celu pełniejsze zaspokojenie bieżących i przyszłych potrzeb klientów. CSA STAR zwiększa zaufanie klientów, pomaga budować wiarygodność firmy, dając zauważalną przewagę nad konkurencją.

Z perspektywy regulacji prawnych CSA STAR wymusza zapewnienie zgodności działań z przepisami, co prowadzi do zmniejszenia ryzyka prawnego firmy, a klientom daje jasny sygnał, czy i kiedy mogą wynosić swoje dane i aplikacje do chmury. Wdrożenie ustandaryzowanych zasad zarządzania przyczynia się z kolei do zwiększenia wydajności operacyjnej, a zdolność do pełnego monitorowania sposobu funkcjonowania organizacji umożliwia określenie jej słabych stron i podejmowanie działań wymagających uwagi.

Certyfikacja CSA STAR wprowadza udoskonalone mechanizmy zarządzania ryzykiem oraz zwiększa ochronę kluczowych procesów biznesowych przed skutkami niedopatrzeń. Co ważne, proces certyfikacji nie kończy się na wydaniu certyfikatu. Posiadanie certyfikatu wiąże się z ciągłą pracą nad organizacją, aby zapewnić zgodność systemu oraz dążyć do jego doskonalenia.

Zanim kolejny klient powie chmurze kategoryczne „nie”, warto dogłębnie zastanowić się, czy zrobiliśmy wszystko, co możliwe, aby przekonać go o pełnym bezpieczeństwie oferowanych usług. Certyfikat CSA STAR staje się tutaj gwarantem solidności i wiarygodności dostawcy chmury.