Hogyan kerülhetik el a cégvezetők, hogy a cloud előnyeit élvezhessék, és a hátrányaiból a lehető legkevesebb csapódjon le az általuk vezetett szervezetben? Horváth Csaba cikksorozatának befejező részében a menedzsment feladatival és felelősségével foglalkozik.
Az IT kormányzással, biztonsággal, elérhetőséggel, privacy-val, működési és törvényi szabályozásoknak való megfelelőséggel kapcsolatos kockázatok kezelése a menedzsment felelőssége marad attól függetlenül, hogy egy szervezet (a menedzsment döntéseként) belül valósítja meg az IT-t, vagy hagyományos kiszervezett szolgáltatást vesz igénybe, esetleg magán, publikus vagy hibrid felhőszolgáltatást használ [4].

Ez azt jelenti, hogy hiába kerül a kiszervezett adatokkal kapcsolatos belső kontrollok feletti ellenőrzés a vállalaton és a vállalati menedzsment hatáskörén kívül, azok ellenőrzése továbbra is az összvállalati pénzügyi jelentéssel kapcsolatos belső kontrollok (ICFR – Internal Controls over Financial Reporting) részét képezik, azaz a menedzsment feladata marad [8] [9] [10]. Magyarán az igazgatóság, részvényesek, vásárlók, alkalmazottak, üzleti partnerek és szabályozók továbbra is a menedzsmentet tartják felelősnek ezekért a szolgáltatásokért [10].



Ha tehát a menedzsment meg akar ennek felelni, az ellenőrizhetőség végett különböző megelőző (preventív) és észlelő (detektív) kontrollokat kell meghatároznia a cégen belül, amelyek kiegészítik a szolgáltató cég kontrolljait. Ugyanis csak ezek együttesével csökkenthetőek az azonosított kockázatok.

A monitorozás szerepe A kontrollok működését azonban folyamatos monitorozni is kell, mellyel megvalósítható a feldolgozás integritásának ellenőrzése, azaz hogy a vállalat a bevitt információknak megfelelő eredményt kapja-e végeredményül. Csakhogy ez az ellenőrzés nem mindig kivitelezhető – például az egészségügyben, amikor páciensadatok elemzését végző szolgáltatásnál erős személyiségi jogi védelem alatt álló adatokról van szó. Ilyenkor a feldolgozás hatékonyságát a szolgáltatás igénybe vevő csak korlátozottan tudja ellenőrizni.

Ebben az esetben az ellenőrzéshez az US. GAAP (Generally Accepted Privacy Principles) és SOX (Sarbanes–Oxley Act) szabályozások értelmében bekérhet a szolgáltatást nyújtó vállalatról egy független könyvvizsgálók által kibocsátott jelentést. Ezt a jelentést a SAS 70 utódjaként 2010 áprilisában létrejött SSAE 16 is megköveteli [8] [9].

A SAS 70-es riportok főleg a SOX 404-es szekciójának követelményei révén kerültek előtérbe, és egyre fontosabbá váltak a hatékony ICFR (Internal Controls over financial Reporting) folyamatok értékelésénél. Azon vállalatok, melyek rendelkeznek formális kockázatértékelő folyamatokkal – például egy a SOX 404-es szekciójában szereplő megfelelőségi program kapcsán –, azok eredményeit felhasználhatják az SSAE 16 kritériumainak kielégítésére is [8].

Visszatérve a menedzsment felelősségére összefoglalásként elmondható, hogy minden esetben kötelessége megbizonyosodni a folyamatok hatékonyságáról, a megfelelő teljesítmény és stabilitás eléréséről, valamint a törvényi és szerződésben foglalt szabályozásoknak való megfelelőségről. Ehhez pedig a TPA (Third Party Assurance – harmadik félnek nyújtott bizonyosság) riportok megfelelő támaszt nyújthatnak számára [4] [10].

Kibertámodások és a TPA De a menedzsment felelőssége közel sem egyedüli szempont. A TPA szükségességét igazolja az is, hogy az utóbbi években erősen megszaporodtak a kibertámadások. A támadások többségénél arra is fény derült, hogy a megtámadott szervezetnél két vagy több SOC TSP-t is megsértettek, amely jól példázza, hogy a SOC valóban segít a valós fenyegetettségek elleni küzdelemben. Nézzünk néhány példát!

Az első egy az Epsilon Data Management nevű cégnél történt incidens. A cég e-mail marketingszolgáltatást nyújt, évente mintegy 40 milliárd e-mailt küld ki 2500 ügyfele nevében. Egy biztonsági rés kihasználásával a támadóknak sikerült bejutniuk a cég rendszerébe, miáltal sérült a privacy és bizalmasság. A cég klienseinek neve és e-mail címe került illetéktelen kézbe. A megszerzett adatokat megtévesztő e-mailekre alapuló adathalász támadásokhoz lehet felhasználni a későbbiek során.

A másik példa a Sony ellen elkövetett – annak idején nagy vihart kavart – támadás. Playstation hálózatának feltörését követően 70 millió előfizető személyes, hitelkártya és egyéb adatait lopták el. A támadás miatt 23 napig elérhetetlen volt a hálózat, ami 171 millió dollár veszteséget okozott a Sonynak.

A Hyundai Capitalt ért támadás során az autófinanszírozást végző cég adatbázisából 420 ezer vásárló személyes adatát és jelszavát lopták el. Az incidens a cég adatbázisának biztonságosságát, az adatok bizalmasságát és a vásárlói privacy-t veszélyeztette.

Végül pedig az amerikai védelmi minisztérium ért támadás során 24 ezer (katonai és egyéb tartalmú szerzői jogvédett anyagot tartalmazó) fájlt loptak el feltehetően egy külföldi kormány támogatásával a Pentagon szerveréről [3].

A sorozatban megjelent cikkek
Módszerek felhőszolgáltatások kockázatértékelésére – 1. rész:
Third Party Assurance (TPA), azaz a harmadik félnek nyújtott bizonyosság problémaköre felhőszolgáltatásoknál
Módszerek felhőszolgáltatások kockázatértékelésére – 2. rész:
áttekintés a leginkább elterjedt TPA szabványokról és a riportok
típusairól
Módszerek felhőszolgáltatások kockázatértékelésére – 3. rész:

a SOC (Service Organization Control) keretrendszer, valamint a SOC riportokkal bemutatása

Konklúzió A CEO és CFO-kra egyre nagyobb költségcsökkentési nyomás nehezedik, miközben elvárás a szolgáltatások minőségi fejlesztése is. Ez a kettős hatás eredményezte azt, hogy mind több szervezetnél fogalmazódik meg a felhőalapú szolgáltatások iránti igény. Kétségtelen ugyanis, hogy a cloud computing révén javítható a működési hatékonyság, ám a felhő veszélyeket is hordoz. Mielőtt tehát igénybe venne egy szervezet egy felhőszolgáltatást, ki kell értékelnie a vele kapcsolatos általános és egyedi kockázatokat [4]. Ebben segít a TPA részeként a SOC riportok keretrendszere.

Szakirodalom A téma iránt mélyebben érdeklődőknek megadjuk a cikkben hivatkozott szakcikkek pontos adatait.

[1] PwC.(2009), Third Party Assurance – Technology Sector, April 2009, PricewaterhouseCoopers.
[2] PwC.(2009), Third Party Assurance – SaaS Cloud Computing and TPA Services, PricewaterhouseCoopers.
[3] Brizhik, A., Choe V., Taylor, D. (2012), SOC 2 Breakdown, INTERNAL AUDITOR, February 2012.
[4] PwC. (2009), Third Party Assurance – SaaS Cloud Computing, 22nd March 2013.
[5] PwC. (2013), Confidence in the Cloud, www.pwc.co.uk, 22nd March 2013.
[6] AICPA. (2010), Statement on Standards for Attestation Engagements No. 16, Reporting on Controls at a service Organization.
[7] PwC. (2009), The end of SAS70 – what next for Performance Assurance?, PricewaterhouseCoopers.
[8] Rashty, J. (2011), New Guidance for Cloud-Based Service Control Reports, THE CPA JOURNAL, October 2011.
[9] Petersen L. M. (2011), Service organization control reports demisyified, www.cioinsight.com, September/October 2011.
[10] Halterman, C. (2011), Expanding service control reports, www.journalofaccountancy.com, July 2011.
[11] Bell, D., Curran, C., Seale, K. (2012), Building trust and customer confidence with SOC 2 and 3 reports, www.grantthorton.com, 22nd March 2013
[12] SSAE16. (2013), SOC 3 SysTrust/WebTrust | Trust Services Principles and Criteria | What you Need to know, www.ssae16.org
[13] SAS70. (2012), FAQ, www.sas70.com
[14] WebTrust. (2013), Find a Seal: Information on Trust Service Seals, www.webtrust.org
[15] IT Governance Institute. (2008), Aligning Cobit 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefeit, ITGI 2008.
[16] Frost, R. (2012), ISO Survey now available for free download, www.iso.org
[17] ISO27001Security. (2013), FAQ ISMS audit & certification, www.iso27001security.com
[18] Mataracioglu, T., Ozkan, S. (2011), Governing Information Security in Conjunction with COBIT and ISO 27001, International Journal of Network Security & Its Applications, Vol. 3 Issue 4, p111, July 2011.
[19] EuroCloud. (2013), EuroCloud Star Audit Requirements, www.saas-audit.de
[20] EuroCloud. (2013), EuroCloud Star Audit FAQ, www.saas-audit.de

MI-vezérelt embermosógép készül Japánban

A pilótafülkére emlékeztető szerkezet gyors mosó-szárító programot és teljes felfrissülést ígér a felhasználóknak.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.