Öryggisráðstafanir ábyrgðaraðila vegna vistunar persónuupplýsinga í tölvuskýi

Eftirfarandi atriði er vert að hafa í huga þegar hugað er að öryggi skýjaþjónustunnar:

1. Nota skal sterkt lykilorð með tveggja þátta auðkenningu

Tvíþátta auðkenning er áhrifarík leið til að efla enn frekar öryggi í skýjunum og flestir þjónustuaðilar bjóða upp á slíka lausn. Aðgangsstýring er sérstaklega mikilvæg þegar um hóppósthólf eða samnýttar möppur er að ræða. Auk þess ættu aðgangsréttindi hvers notanda að vera skráð og tryggt að þau séu studd af viðeigandi breytingastjórnunarferli. Öryggisráðstafanir verða að vera endurskoðaðar reglulega til að tryggja að allur aðgangur sem leyfilegur er hverju sinni sé nauðsynlegur og réttlætanlegur.

2. Fara skal yfir sjálfgefnar öryggisstillingar

Ekki skal treysta í blindni á sjálfgefnar öryggisstillingar þjónustuveitenda þar sem ekki er sjálfgefið að sérhver þjónustusali skýjalausna fylgi bestu venjum og vottuðum gæðakerfum. Fara skal yfir þá öryggisþætti sem eru í boði til að tryggja að þeim sé beitt á viðeigandi og lagskiptan hátt. Dæmi um öryggisstillingar og stýringar í skýjaþjónustu eru:

• Miðstýring á aðgangskerfum

• Margþátta staðfesting

• Innskráningartilkynningar

• Dulkóðun

• Eftirlit með innskráningu inn á reikninga og með tilkynningum

• Koma í veg fyrir að gögn geti glatast

• Vernd gegn spilliforritum

• Vernd gegn vefveiðum

Taka ætti tillit til þess að skýjaþjónustan gæti verið aðgengileg almenningi og því þyrfti að endurskoða og innleiða viðeigandi öryggisstillingar til að tryggja fjaraðgang.

3. Fá tryggingu hjá (upplýsingatækni) þjónustuaðila

Ef notast er við utanaðkomandi þjónustuaðila við að setja upp skýið er mikilvægt að fá tryggingu hjá honum um að öryggiseftirlit þeirra uppfylli öryggiskröfur þínar og verndi persónuupplýsingar fyrirtækisins/stofnunarinnar. Taka skal virkan þátt í að endurskoða reglulega öryggiskerfi skýjaþjónustu þinnar til að tryggja eftirlit og reglulega uppfærslu og skilvirkni.

4. Skýr stefna og þjálfun starfsfólks

Mikilvægt er að sjá til þess að starfsfólk fái viðeigandi þjálfun í því hvernig taka skuli á hvers kyns netárásum. Slík þjálfun ætti að vera hluti af endurmenntunarstefnu fyrirtækisins sem þáttur í aðdraga úr áhættu af netárásum. Fyrirtæki og stofnanir ættu að hafa skýra stefnu varðandi notkun og öryggi skýjaþjónustu sinnar. Nauðsynlegt er að endurskoða stefnuna reglulega til að tryggja að persónuupplýsingar séu ekki varðveittar lengur en þörf er á eða þar til upphaflegum tilgangi með notkun þeirra er náð.

5. Þekkja skal gögnin og þau tryggð

Fyrirtæki eða þeir aðilar sem geyma gögn í tölvuskýjum ættu að skilja og fylgjast með gögnunum sem eru geymd þar. Með því er hægt að tryggja viðeigandi öryggi og beita aðgangsstýringu til að vernda gögnin enn frekar. Með flokkun gagna fæst ákveðin yfirsýn og auðveldara er að ákvarða viðeigandi öryggiseftirlit. Velja skal þjónustuaðila sem býður upp á besta öryggið og óska skal eftir upplýsingum um hvernig þeir uppfylla kröfur fyrirtækisins érstaklega.

Spyrja skal spurninga eins og:

• “Hver hefur aðgang að gögnunum?”

• “Hvernig eru gögnin tryggð?

• “Hversu oft er tekið afrit af gögnunum?

• “Hversu lengi eru gögnin varðveitt?”

Endurskoða ætti öryggisstillingarnar reglulega til að tryggja að þær séu enn viðeigandi og uppfærðar.