Skýjaþjónusta - Hvað er gott að hafa í huga við val á þjónustuaðila ?
Skýjaþjónusta er notað þegar notendur, óháðir hver öðrum geta samnýtt tæknilega innviði til að hýsa gögn sín.
Með skýjaþjónustu (e. cloud computing / cloud services) er átt við þjónustu þar sem notandi getur útbúið eða nálgast nýja þjónustu án aðkomu þjónustuaðila. Skýjaþjónusta er sveigjanleg, aðgengileg, mælanleg, samnýtt og sjálfstýrð upplýsingatækniþjónusta. Notendur eru óháðir hver öðrum en samnýta tæknilega innviði sem eru á ábyrgð þjónustuveitandans.
Skýjalausnir eru nýttar af mörgum fyrirtækjum og stofnunum enda eru kostirnir sem fylgja henni ótvíræðir. Hins vegar getur hún haft tæknilegar áhættur í för með sér sem notendur ættu að vera meðvitaðir um. Brestir í öryggiskerfi skýjalausna geta leitt til óheimillar yfirtöku á aðganginum svo af getur hlotist ómetanlegt tjón. Þess utan þarf að huga að aðgengileika, varðveislu og leynd persónuupplýsinga. Þá þarf notandi þjónustunnar m.a. að vera meðvitaður um hið mikla magn af persónuupplýsingum sem geymdar eru í skýinu og ef það er hýst annars staðar en á Íslandi þarf að sannreyna að það sé í lagi og í samræmi við persónuverndarlöggjöfina. Heimilt er að flytja upplýsingar innan EES án hindrana en sérstakar reglur gilda um flutning til annarra landa. Sum lönd eru skilgreind sem „örugg lönd“ en hér má nálgast nánari útlistun á þeim. Persónuvernd bendir líka á að flutningur persónuupplýsinga úr landi er háður fleiri atriðum en einungis landfræðilegri staðsetningu vinnsluaðila og þá sérstaklega að öryggi persónuupplýsinga sé nægilega tryggt í vörslu þriðja aðila, hvar svo sem hann er staddur í heiminum.
Alþjóðlegir staðlar um stjórnun upplýsingaöryggis
Persónuvernd gerir ekki kröfur til fyrirtækja og stofnana um að þau hlíti ákveðnum staðli um upplýsingaöryggi. Hins vegar getur alþjóðlegur staðall eins og ISO 27001 verið gott verkfæri til að koma á fót ramma vegna vinnu með upplýsingaöryggi og þar með persónuvernd. Persónuverndarlögin/persónuverndarreglugerðin kveða á um að dregið skuli úr áhættu með viðeigandi tæknilegum og skipulagslegum ráðstöfunum. Meirihluti þeirra ráðstafana eru tilgreindar í fyrrgreindum staðli. Annar staðall ISO 27701 er útvíkkun á ISO 27001 staðlinum, þ.e.a.s. kröfur sem tilgreina upplýsingaöryggi taka einnig til persónuverndar eftir því sem vinnsla persónuupplýsinga kann að eiga við.Allir sem nýta sér skýjaþjónustu ættu að innleiða og skjalfesta „skýjastefnu“ og beita viðeigandi tæknilegum öryggis- og skipulagsráðstöfunum til að tryggja öryggi skýjaþjónustu sinnar til að minnka áhættuna.
Gagnlegast er að beita fjölþættum öryggisráðstöfunum sem samanstanda af en takmarkast ekki við:
- Aðgangsstýringar
- Eldveggir
- Vírusvarnir
- Starfsþjálfun
- Stefnumótun
Með því að setja upp fjölþætt öryggiskerfi tryggir þú að ef komist er fram hjá einu öryggisatriði, tekur það næsta við. Flestir skýjaþjónustuaðilar bjóða upp á leiðbeiningar um það hvernig best sé að tryggja öruggt skýjaumhverfi en á endanum er það alltaf á þína ábyrgð, þ.e. þess aðila sem tekur ákvörðun um að nýta sér þjónustuna, að ganga úr skugga um að öryggi upplýsinganna sem unnið er með sé tryggt og fylgi öðrum ákvæðum persónuverndarlöggjafarinnar. Það er ekki nægilegt að treysta á vottanir eða bestu starfsvenjur þjónustuaðila.
Eftirfarandi atriði er vert að hafa í huga þegar hugað er að öryggi skýjaþjónustunnar:
1. Notið sterkt lykilorð með tveggja þátta auðkenningu
Tvíþátta auðkenning er áhrifarík leið til að efla enn frekar öryggi í skýjunum og flestir þjónustuaðilar bjóða upp á slíka lausn. Aðgangsstýring er sérstaklega mikilvæg þegar um hóppósthólf eða samnýttar möppur er að ræða. Auk þess ættu aðgangsréttindi hvers notanda að vera skráð og tryggt að þau séu studd af viðeigandi breytingastjórnunarferli. Öryggisráðstafanir verða að vera endurskoðaðar reglulega til að tryggja að allur aðgangur sem leyfilegur er hverju sinni sé nauðsynlegur og réttlætanlegur.
2. Farið yfir sjálfgefnar öryggisstillingar
Ekki treysta í blindni á sjálfgefnar öryggisstillingar þjónustuveitenda þar sem ekki er sjálfgefið að sérhver þjónustusali skýjalausna fylgi bestu venjum og vottuðum gæðakerfum. Farið yfir þá öryggisþætti sem eru í boði til að tryggja að þeim sé beitt á viðeigandi og lagskiptan hátt. Dæmi um öryggisstillingar og stýringar í skýjaþjónustu eru:
- Miðstýring á aðgangskerfum
- Margþátta staðfesting
- Innskráningartilkynningar
- Dulkóðun
- Eftirlit með innskráningu inn á reikninga og með tilkynningum
- Koma í veg fyrir að gögn geti glatast
- Vernd gegn spilliforritum
- Vernd gegn vefveiðum
Taka ætti tillit til þess að skýjaþjónustan gæti verið aðgengileg almenningi og því þyrfti að endurskoða og innleiða viðeigandi öryggisstillingar til að tryggja fjaraðgang.
3. Fáðu tryggingu hjá (upplýsingatækni) þjónustuaðilanum þínum
Ef notast er við utanaðkomandi þjónustuaðila við að setja upp skýið er mikilvægt að fá tryggingu hjá honum um að öryggiseftirlit þeirra uppfylli öryggiskröfur þínar og verndi persónuupplýsingar fyrirtækisins/stofnunarinnar. Taktu virkan þátt í að endurskoða reglulega öryggiskerfi skýjaþjónustu þinnar til að tryggja eftirlit og reglulega uppfærslu og skilvirkni.
4. Skýr stefna og þjálfun starfsfólks
Mikilvægt er að sjá til þess að starfsfólk fái viðeigandi þjálfun í því hvernig taka skuli á hvers kyns netárásum. Slík þjálfun ætti að vera hluti af endurmenntunarstefnu fyrirtækisins sem þáttur í aðdraga úr áhættu af netárásum. Fyrirtæki og stofnanir ættu að hafa skýra stefnu varðandi notkun og öryggi skýjaþjónustu sinnar. Nauðsynlegt er að endurskoða stefnuna reglulega til að tryggja að persónuupplýsingar séu ekki varðveittar lengur en þörf er á eða þar til upphaflegum tilgangi með notkun þeirra er náð.
5. Þekktu gögnin þín og tryggðu þau
Þú ættir að skilja og fylgjast með gögnunum sem eru geymd í skýi þíns fyrirtækis. Með því er hægt að tryggja viðeigandi öryggi og beita aðgangsstýringu til að vernda gögnin enn frekar. Með flokkun gagna fæst ákveðin yfirsýn og auðveldara er að ákvarða viðeigandi öryggiseftirlit. Veldu þjónustuaðila sem býður upp á besta öryggið og fáðu að vita hvernig þeir uppfylla kröfur þínar sérstaklega.
Spyrðu spurninga eins og:
- “Hver hefur aðgang að gögnunum?”
- “Hvernig eru gögnin tryggð?
- “Hversu oft er tekið afrit af gögnunum?
- “Hversu lengi eru gögnin varðveitt?”
Endurskoða ætti öryggisstillingarnar reglulega til að tryggja að þær séu enn viðeigandi og uppfærðar.