Audit cloudových služieb

Mnohí poskytovatelia cloudových služieb sa pokúšajú “predávať” svojim zákazníkom súčasné ISO certifikácie ako celkovú a preukázateľnú záruku kvality nimi poskytovaných cloudových služieb rovnako ako v ostatných priemyselných a obchodných odvetviach. cloud_security_300x210Pri diskusiách na tému certifikácie cloudových služieb a riešení je nutné brať do úvahy, že existuje mnoho certifikačných postupov a certifikačných schém, založených na tradičných štandardoch pre dátové centrá, na certifikácii technických zariadení a komponentov ako aj na posúdení štruktúr a obsahov zmlúv a vzťahov medzi zákazníkom a dodávateľmi tovarov a služieb. V prevažnej miere sa dôraz kladie na bezpečnosť (štandardy ISO 27001/27002) a manažment kvality (napr. CoBIT), prípadne rozšírenie o špeciálne vlastnosti (SOX Compliance SSAE16/ESAE3402, predtým SAS70). Je nutné zdôrazniť že len zmysluplná kombinácia viacerých kontrolných mechanizmov, založených na rôznych štandardoch dokáže kvalifikovane zodpovedať základnú otázku, či poskytovaná cloudová služba disponuje dostatočnou úrovňou kvality pre špecifické požiadavky, t.j či je pre daného zákazníka a jeho špecifický typ obchodnej činnosti vhodná.

Certifikačný proces sa obvykle začína kontrolou kvality s dôrazom na technické požiadavky a v širšom meradle na požiadavky na bezpečnosť, ochranu dát, kompatibilitu a súlad zhody. Skutočnosť, že takáto forma certifikácie je rozsahom náročná, kladie enormné nároky na čas i ľudské zdroje a vyžaduje špeciálne expertné skúsenosti, boli vyvinuté špeciálne certifikačné rámcové schémy. V týchto rámcových schémach sú základné požiadavky, implementované do štandardizovaných testovacích protokolov a tieto sú aplikované prostredníctvom dôveryhodných audítorov alebo zazmluvnených certifikovaných špecialistov. Štandard ISO 27001 (Informačné technológie – Bezpečnostné techniky – Systémy riadenia informačnej bezpečnosti – Požiadavky) predstavuje komplexný systém overených testovacích procedúr pre oblasť informačnej bezpečnosti. Popri tom je bezpečnosť iba jednou zložkou, ktorú je potrebné preveriť v rámci certifikačného procesu celého cloudového reťazca. Špecifikácia zmluvy o úrovni poskytovaných služieb (SLA) a zazmluvnené požiadavky na úroveň ochrany dát sú v tomto prípade rovnako dôležité. Nakoľko poskytovatelia cloudových služieb prevádzkujú svoje služby pre väčší počet zákazníkov, je potrebné preveriť všetky požiadavky z testovacej schémy napríeč celým dodávateľským reťazcom. Aj v prípade, že poskytovateľ platformy Softvér ako služba (SaaS) vlastní certifikát ISO 27001, táto skutočnosť neposkytne relevantný obraz o celkovej úrovni kvality poskytovaných cloudových služieb a systémov prevádzkovaných poskytovateľom. Na celkovú bezpečnosť má významný vplyv aj miera bezpečnosti včlenených a prevádzkovaných zákazníckych platforiem alebo aj zabezpečenie poskytovateľov infraštruktúry. Pre výber alebo voľbu najvhodnejšej certifikačnej schémy, ktorá umožní objektívne posúdenie a ohodnotenie cloudovej služby je možné oprieť sa o nasledovné pravidlá:

  • pri audite je potrebné posudzovať hodnotenú službu v priamom spojení spolu s právnym subjektom, ktorý zmluvu o poskytovaní právnych služieb ponúka
  • audit cloudovej služby by mal byť vykonaný naprieč celým dodávateľským reťazcom
  • kľúčovými prvkami auditu majú byť bezpečnosť, súkromie a zhoda
  • základným predpokladom pre zaručenie bezpečnosti a súkromia je absolútna transparentnosť všetkých subjektov, podieľajúcich sa na samotnom poskytovaní        cloudových služieb
  • rozsah samotného auditu by mal zostať rovnaký z dôvodu možnej porovnateľnosti počas celého výberového procesu