Bezpečnost dat v cloudu se zárukou certifikace podle mezinárodního standardu

Bezpečnost dat je jednou z nejpodstatnějších věcí, o které se musí firma starat, ať už podniká v jakémkoliv oboru. Svá data může dobře chránit například pomocí cloudových služeb. Míra jejich zabezpečení je totiž natolik vysoká, že se riziko úniku či ztráty dat naprosto minimalizuje.

V IT světě existují dva základní pohledy na data. Ten první se na ně dívá skrze zákon č. 181/2014 Sb. o kybernetické bezpečnosti, a vnímá je tedy jako obsah nesoucí jakékoliv informace.

Druhý pohled se pak týká zákona č. 110/2019 Sb. o zpracování osobních údajů (GDPR), přičemž oba tyto zákony reagují na hrozby, kterým kyberprostor dnes a denně čelí, zejména na riziko úniku osobních údajů a dat jako celku, případně na jejich nedostupnost z důvodu škodlivého šifrovacího kódu či DDoS útoků.

Ovšem kybernetický zákon a související vyhlášky se zabývají zejména kritickou infrastrukturou státu, typicky např. oblastmi energetiky či vodního hospodářství. Kromě toho pak zákon operuje i s pojmem významný informační systém, což jsou zase systémy provozované orgány veřejné správy.

Soukromé subjekty by tedy měly svou kybernetickou bezpečnost garantovat jinak - pomocí certifikací dle mezinárodních standardů z rodiny ČSN ISO/IEC 27000.

A taková malá zajímavost, náš český kybernetický zákon vychází přímo z normy ISO/IEC 27001.

Certifikuje nezávislý auditor

Kromě zákona o zpracování osobních údajů, který říká, jak mají firmy všeobecně pracovat s osobními údaji svých klientů, je pro poskytovatele cloudových služeb nejdůležitější norma ISO/IEC 27001, protože definuje systém managementu bezpečnosti informací. Dalo by se říci, že tento standard slouží jako propracovaný návod, jak efektivně chránit svá klíčová aktiva, zejména citlivá data.

Norma však z pochopitelných důvodů nemůže být příliš adresná, a tak nabízí poměrně velkou volnost v tom, jak daných cílů dosáhnout. Definuje, na co se má firma zaměřit i co by mělo být výsledkem, ale jaké konkrétní řešení subjekt zvolí, už je takzvaně na něm.

Plnění normy následně zkontroluje nezávislý auditor, který také v případě úspěšného auditu následně vystavuje certifikaci, jež se však nevztahuje na celou firmu, ale přímo na konkrétní auditovanou věc.

"Auditora zajímá, jak se poskytovatel chová k uživatelům, k sítím, ke kryptografii, jak vyhodnocuje rizika, jak určuje primární a podpůrná aktiva, jak všechno toto navíc ještě kontroluje. Je to hodně o vnitřních procesech daného poskytovatele. Certifikace tedy slouží nejen jako interní potvrzení o tom, že firma má svůj management bezpečnosti informací dobře nastavený, ale samozřejmě i jako vodítko pro její potenciální klienty. A samozřejmě stejný postup probíhá i v případě certifikace dle normy ISO/IEC 27002, která mimo jiné míří přímo na používaný hardware i software. Firma, která nabízí cloudové služby, by měla garantovat, že pracuje pouze s aktuálními systémy a nemá zastaralou infrastrukturu," říká Petr Loužecký, expert na cloud a ředitel cloudových služeb ze společnosti Algotech.

Mezinárodní standard je zárukou bezpečnosti

Výhodou mezinárodní standardu ISO/IEC 27001 je, že je dobrovolný a svou univerzálností se hodí prakticky pro všechny firmy, protože aktivy se vlastně rozumějí jakékoliv informace, které jsou klíčové. Může tak jít o osobní data klientů, data z vývoje určitých produktů včetně technických nákresů a plánů, autorské umělecké návrhy, zápisy z porad vedení, ale třeba i o všechny prostředky na uložení, zpracování a zabezpečení primárních, nebo jinak řečeno informačních aktiv.

Ovšem nutno dodat, že málokterý podnik má k dispozici tolik finančních prostředků, aby dokázal investovat do robustního a skutečně bezpečného on premise řešení a následně ještě do certifikace. I proto se čím dál častěji firmy přesouvají se svými daty do cloudu, jenž jim právě díky tomu, že se poskytovatelé na tyto služby specializují, dokáže ochranu dat gatantovat.

A i když nakonec svěří svá data kyberprostoru, měly by mít na paměti, že je třeba stále dodržovat základní zásady IT bezpečnosti při práci.

Článek Algotech, a.s. ze dne pondělí 10. ledna 2022

Další články od Algotech, a.s.