Bezpečnost dat je jednou z nejpodstatnějších věcí, o které se musí firma starat, ať už podniká v jakémkoliv oboru. Svá data může dobře chránit například pomocí cloudových služeb.
V IT světě existují dva základní pohledy na data. Ten první se na ně dívá skrze zákon č. 181/2014 Sb. o kybernetické bezpečnosti, a vnímá je tedy jako obsah nesoucí jakékoliv informace. Druhý pohled se pak týká zákona č. 110/2019 Sb. o zpracování osobních údajů (GDPR), přičemž oba tyto zákony reagují na hrozby, kterým kyberprostor dnes a denně čelí, zejména na riziko úniku osobních údajů a dat jako celku, případně na jejich nedostupnost z důvodu škodlivého šifrovacího kódu či DDoS útoků.
Ovšem kybernetický zákon a související vyhlášky se zabývají zejména kritickou infrastrukturou státu, typicky například oblastmi energetiky či vodního hospodářství. Kromě toho pak zákon operuje i s pojmem významný informační systém, což jsou zase systémy provozované orgány veřejné správy. Soukromé subjekty by tedy měly svou kybernetickou bezpečnost garantovat jinak – pomocí certifikací dle mezinárodních standardů z rodiny ČSN ISO/IEC 27000. A taková malá zajímavost, náš český kybernetický zákon vychází přímo z normy ISO/IEC 27001.
Certifikuje nezávislý auditor
Kromě zákona o zpracování osobních údajů, který říká, jak mají firmy všeobecně pracovat s osobními údaji svých klientů, je pro poskytovatele cloudových služeb nejdůležitější norma ISO/IEC 27001, protože definuje systém managementu bezpečnosti informací. Dalo by se říci, že tento standard slouží jako propracovaný návod, jak efektivně chránit svá klíčová aktiva, zejména citlivá data. Norma však z pochopitelných důvodů nemůže být příliš adresná, a tak nabízí poměrně velkou volnost v tom, jak daných cílů dosáhnout. Definuje, na co se má firma zaměřit i co by mělo být výsledkem, ale jaké konkrétní řešení subjekt zvolí, už je takzvaně na něm.
Plnění normy následně zkontroluje nezávislý auditor, který také v případě úspěšného auditu následně vystavuje certifikaci, jež se však nevztahuje na celou firmu, ale přímo na konkrétní auditovanou věc. „Auditora zajímá, jak se poskytovatel chová k uživatelům, k sítím, ke kryptografii, jak vyhodnocuje rizika, jak určuje primární a podpůrná aktiva, jak všechno toto navíc ještě kontroluje. Je to hodně o vnitřních procesech daného poskytovatele,“ říká Petr Loužecký, expert na cloud a ředitel cloudových služeb ze společnosti Algotech.
Certifikace tedy slouží nejen jako interní potvrzení o tom, že firma má svůj management bezpečnosti informací dobře nastavený, ale samozřejmě i jako vodítko pro její potenciální klienty. A samozřejmě stejný postup probíhá i v případě certifikace dle normy ISO/IEC 27002, která mimo jiné míří přímo na používaný hardware i software. Firma, která nabízí cloudové služby, by měla garantovat, že pracuje pouze s aktuálními systémy a nemá zastaralou infrastrukturu.
Mezinárodní standard je zárukou bezpečnosti
Výhodou mezinárodní standardu ISO/IEC 27001 je, že je dobrovolný a svou univerzálností se hodí prakticky pro všechny firmy, protože aktivy se vlastně rozumějí jakékoliv informace, které jsou klíčové. Může tak jít o osobní data klientů, data z vývoje určitých produktů včetně technických nákresů a plánů, autorské umělecké návrhy, zápisy z porad vedení, ale třeba i o všechny prostředky na uložení, zpracování a zabezpečení primárních, nebo jinak řečeno informačních aktiv.
Ovšem nutno dodat, že málokterý podnik má k dispozici tolik finančních prostředků, aby dokázal investovat do robustního a skutečně bezpečného on premise řešení a následně ještě do certifikace. I proto se čím dál častěji firmy přesouvají se svými daty do cloudu, jenž jim právě díky tomu, že se poskytovatelé na tyto služby specializují, dokáže ochranu dat gatantovat. A i když nakonec svěří svá data kyberprostoru, měly by mít na paměti, že je třeba stále dodržovat základní zásady IT bezpečnosti při práci.
