O co chodzi z tą “chmurą” i certyfikatami bezpieczeństwa ISO. Wyjaśniamy!

O co chodzi z tą “chmurą” i certyfikatami bezpieczeństwa ISO. Wyjaśniamy!

RODO bezpieczeństwo zrób to lepiej
Marek Woźniak

Marek Woźniak

Dokładnie rok temu, 14 stycznia 2020 roku, informowaliśmy, że nie ustępujemy takim gigantom jak Amazon, Microsoft czy Google pod względem standardów bezpieczeństwa usług w chmurze. netPR.pl, jako jeden z pierwszych dostawców rozwiązań chmurowych w Polsce, otrzymał certyfikaty ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019. Dlaczego to takie ważne nie tylko dla nas, ale praktycznie każdej firmy w Polsce? 

Zacznijmy od wyjaśnienia - dlaczego uważamy, że możemy się równać z gigantami technologicznymi w kwestii bezpieczeństwa usług w chmurze? Rozwiązanie tej zagadki jest proste - stosują się oni do takich samych standardów co netPR.pl, czyli posługują się identycznymi certyfikatami. Zagadnienie norm ISO warto jednak szerzej rozwinąć, ponieważ temat jest dość skomplikowany. 

Wysoki mur z fosą kontra nadmierne zaufanie

Oczywiście nie chodzi nam o to, żeby wszystkie firmy korzystały z naszej technologii do napędzania swoich serwisów internetowych i komunikacji marketingowej. Patrzymy na to zagadnienie z szerszej perspektywy dostrzegając dwa modele zachowań wśród firm na polskim rynku. Z jednej strony widzimy strach przed wszystkim co w nazwie nawiązuje do chmury, a w konsekwencji podmioty przyjmują strategię “castle & moat” polegająca na odseparowaniu się wysokim murem i fosą obronną od nowych, niesprawdzonych przez nie rozwiązań. Z drugiej strony, obserwujemy bezkrytyczne wchodzenie we wszystko co oferują start up-y, bez głębszej analizy warunków usługi kupowanej online. 

Nie trzeba przekonywać do tego, że obie strategie są skrajnie złe. W pierwszym przypadku efektem jest rezygnacja z lepszych, mniej kosztownych oraz szybciej wdrażanych narzędzi, a w drugim mała ich przydatność przez fragmentaryczne rozwiązania problemu oraz najczęściej wystawianie się na konsekwencje prawne wynikające z korzystania z danej usługi. Sam fakt używania niektórych rozwiązań może rodzić uzasadnione podejrzenia w zakresie zgodności z określonymi normami  (np. z RODO).

Chmura, ale nie chmura 

Ale osoba zarządzająca firmą w Polsce, która jest otwarta na rozwiązania w chmurze i świadomie chce podpisać umowę na świadczenie takiej usługi, ma jeszcze jedną przeszkodę  do pokonania, a w zasadzie nie do pokonania. Musi uwierzyć “na słowo”, że informacje i przetwarzane dane są faktycznie bezpieczne, ponieważ nawet w sytuacji, kiedy dostawca otworzy mu furtkę do audytu, to proces ten będzie poza jego możliwościami kompetencyjnymi oraz finansowymi. Koszt takiej operacji jest zbyt wysoki i może się okazać wyższy niż korzystanie z samej usługi. Z tego powodu kupujący zapewne zrezygnuje ze “sprawdzenia” dostawcy i podejmie ryzyko poniesienia konsekwencji prawnych w przypadku niepoprawnego przetwarzania danych, czy wycieku cennych informacji.

W tym momencie trzeba również wspomnieć o tym, że są na rynku usługi oferowane jako rozwiązania chmurowe, które jedynie wykorzystują infrastrukturę dostępną w chmurze, ale wymagają standardowej i regularnej obsługi technicznej takiego oprogramowania. W przypadku większości firm również będzie to rozwiązanie zbyt kosztowne i po prostu nieopłacalne. 

To o co chodzi z tą chmurą i ISO?

Oprogramowanie dostępne jako usługi w chmurze to przyszłość i wiemy o tym już wszyscy. To konkretne korzyści dostępne bez zbędnych barier wejścia, model działania systemowo przygotowany do tego aby oprogramowanie mogło być lepsze, bardziej nowoczesne i niezawodne, a także szybsze i łatwiejsze we wdrożeniu. 

Ale to wcale nie musi być prawda w przypadku każdego dostawcy. Rzeczywiście w interesie każdej firmy kupującej takie usługi wymagane jest wykazywanie się ograniczonym zaufaniem. Oprogramowanie będące przedmiotem usługi zwykle przetwarza informacje i dane powierzone przez firmę nabywcy. Zapewnienie bezpieczeństwa tych informacji to nie tylko wiedza informatyczna, ale odpowiednio zaprojektowane procesy biznesowe i funkcjonujący sprawnie system bezpieczeństwa informacji. 

I w tym miejscu wkracza certyfikacja bezpieczeństwa ISO. Bo co ma przekonać menedżera firmy do korzystania z lepszego i tańszego oprogramowania w sytuacji, kiedy używanie go wiąże się z większym ryzykiem wycieku danych czy wręcz naruszenia obowiązującego prawa? W większości przypadków nie będzie można go przekonać, a żeby tego dokonać trzeba dostarczyć mu dodatkowych argumentów na korzyść bezpieczeństwa rozwiązania chmurowego. Wiarygodnym uzasadnieniem jest spełnienie międzynarodowych standardów ISO, które są potwierdzone audytem i certyfikacją wykonaną przez niezależny podmiot. 

netPR.pl rozpoczyna drugi rok z certyfikatami bezpieczeństwa ISO 27000

Z końcem 2020 roku po raz kolejny nasze rozwiązania oraz organizacja była audytowana przez międzynarodową firmę w zakresie standardów ISO/IEC 27001:2013 (dotyczy systemu bezpieczeństwa informacji), ISO/IEC 27017:2015 (odpowiada za  bezpieczeństwo informacji w chmurze) oraz ISO/IEC 27018:2019 (dotyczy bezpieczeństwa danych osobowych). 

W wyniku audytu uzyskaliśmy pozytywną rekomendację i odnowienie certyfikatów. W rezultacie menedżerowie i działy bezpieczeństwa podejmując decyzję o korzystaniu z naszego oprogramowania zyskują dodatkowy, nieraz kluczowy argument za korzystaniem z rozwiązania chmurowego. To główna bariera przed popularyzacją takich technologii w polskim biznesie.

Z uwagi na to, że certyfikacja ISO 27000 ma wpływ na kształt umowy świadczenia usług i chroni klientów, łatwiejsze i obarczone mniejszym ryzykiem jest również zawarcie umowy oraz samo korzystanie z usług. 

Certyfikaty ISO 27000 z bliska

Zagłębiając się bardziej w techniczne meandry certyfikacji, warto wyjaśnić co dokładnie oznaczają poszczególne numery standardów ISO. Najbardziej ogólna norma ISO/IEC 27001:2013 określa procesy wewnątrz organizacji, które pozwalają efektywnie zarządzać bezpieczeństwem przetwarzanych przez nią informacji. 

Jednak warto zwrócić również uwagę na ISO/IEC 27017:2015, który potwierdza, że firma dostawcy potrafi nie tylko budować usługi w chmurze, ale także korzystać z chmury jako odbiorca. Standard ten zawiera wytyczne, dzięki którym dostawca chmury może jeszcze skuteczniej dbać o bezpieczeństwo przetwarzanych informacji w związku ze świadczeniem w niej usług swoim klientom. Przyznanie certyfikatu pokazuje również, że firma sama w bezpieczny sposób korzysta z usług chmurowych pochodzących od innych dostawców.

Norma ISO/IEC 27018:2019 dotyczy ochrony danych osobowych przetwarzanych przez jej dostawcę. Wytyczne te – nieraz zbliżone do wymogów RODO – określają, jakie środki należy podjąć dla zapewnienia ochrony danych identyfikujących osobę oraz w jakich celach mogą być one przetwarzane.

Korzyści i jeszcze raz korzyści 

Certyfikaty są międzynarodowe, korzystają z nich liderzy w branży technologicznej, z tego powodu jest to pewien wyznacznik jakości. Szczególnie współpracując z przedsiębiorstwami spoza Polski certyfikaty często okazują się przydatne - podmioty zagraniczne mogą wymagać stosowania wymienionych wyżej norm. Dodatkowo firmy korzystające z usług organizacji, która wdrożyła takie standardy, mogą być bardziej atrakcyjne dla obecnych, jak i przyszłych klientów biznesowych.

Klienci zyskują także jasność w kwestii podziału odpowiedzialności i podejmowania działań w związku z ochroną danych osobowych w chmurze. Standard ISO/IEC 27017:2015 określa zakres odpowiedzialności w relacjach między dostawcami usług chmurowych, a ich odbiorcami.

Należy też pamiętać, że zgodnie z RODO podmiot, którego dane są przetwarzane przez podmiot je przetwarzający, ma prawo ale też obowiązek aby ten proces kontrolować. Jeżeli dostawca rozwiązania może się wykazać certyfikatami bezpieczeństwa ISO 27000, to taki audyt administratora danych będzie mógł się ograniczyć do sprawdzenia, czy firma ma aktualny certyfikat.

Atut w czasach pandemii 

Niespodziewane korzyści z otrzymania certyfikatów ISO dla netPR.pl zauważyliśmy na początku marca 2020 roku, kiedy zostaliśmy zmuszeni do przejścia w tryb pracy zdalnej. Dzięki wielu wytycznym i standardom, które musieliśmy spełnić do otrzymania certyfikatów ISO, przejście na ten model pracy było o wiele prostsze - mogliśmy bezproblemowo korzystać z naszego oprogramowania w chmurze w domach, zachowując pełne bezpieczeństwo i ochronę danych. 

Podsumowanie – najważniejsze korzyści dla firm korzystających z usług chmurowych pochodzących od certyfikowanych dostawców

Już od ponad roku gwarantujemy naszym klientom usługi oparte na międzynarodowych standardach oraz bezpieczeństwo i spokój w codziennej pracy - wszystko to potwierdzają aktualne certyfikaty ISO/IEC 27001:2013, 27017:2015, 27018:2019. Z tego powodu zebraliśmy zalety korzystania z usług chmurowych certyfikowanych dostawców. 

  • większe bezpieczeństwo przetwarzania danych w chmurze, 
  • pewność, że przetwarzane dane osobowe są wykorzystywane tylko w celu, w którym zostały powierzone,
  • większe poczucie bezpieczeństwa i spokoju – dostawca jest regularnie audytowany, a system zarządzania bezpieczeństwem certyfikowanej firmy powinien się samodoskonalić,
  • praktyczne wykazanie wypełniania obowiązku przetwarzania danych osobowych zgodnie z prawem (compliance), bez konieczności przeprowadzania kosztownych audytów procesorów danych,
  • ograniczenie ryzyka po stronie osób odpowiedzialnych za przeniesienie procesów organizacji do chmury przez lepsze rozumienie swoich ról i zakresów odpowiedzialności,
  • uproszczenie własnych procedur bezpieczeństwa – coraz więcej firm wymaga certyfikacji bezpieczeństwa ISO od poddostawców, co wpływa na redukcję liczby procesów wewnątrz organizacji,
  • łatwiejsze zawieranie umów, które muszą uwzględniać wymogi standardów bezpieczeństwa ISO – nawet umowa zawarta w internecie, bez czytania,  zawiera zapisy chroniące zamawiającego i jest bezpieczna,
  • możliwość świadomego, bazującego na konkretnych argumentach podejmowania decyzji dotyczących wyboru dostawców usług w chmurze,
  • jasne określenie zakresu odpowiedzialności w relacjach z dostawcami usług chmurowych.

Dla dostawców rozwiązań rozwiązań chmurowych z certyfikatami z grupy ISO 27000 najważniejsze korzyści to:

  • zwiększenie zaufania klientów 
  • przewaga nad konkurencją – spełnienie wymogów wielu firm.

 

 

 

netPR.pl sp. z o.o. jest firmą technologiczną, dostawcą oprogramowania w chmurze wspomagającego komunikację firm, marketing, public relations oraz relacje inwestorskie. Firma uzyskała certyfikat ISO/IEC 27001:2013 oraz certyfikaty ISO/IEC 27017:2015 i ISO/IEC 27018:2019, dotyczące bezpieczeństwa przetwarzania danych (w tym danych osobowych) w chmurze.

netPR.pl sp. z o.o. jest właścicielem multimedialnej agencji informacyjnej infoWire.pl.

Zobacz na nasze certyfikaty

  • netPR.pl sp. z o.o.
  • ul. Włodarzewska 60/9, 02-384 Warszawa
  • NIP 7010100787
  • REGON 141216920
  • KRS 0000295403
© copyright netPR.pl