Az IT kormányzással, biztonsággal, elérhetőséggel, privacy-val, működési és törvényi szabályozásoknak való megfelelőséggel kapcsolatos kockázatok kezelése a menedzsment felelőssége marad attól függetlenül, hogy egy szervezet (a menedzsment döntéseként) belül valósítja meg az IT-t, vagy hagyományos kiszervezett szolgáltatást vesz igénybe, esetleg magán, publikus vagy hibrid felhőszolgáltatást használ [4].

Ez azt jelenti, hogy hiába kerül a kiszervezett adatokkal kapcsolatos belső kontrollok feletti ellenőrzés a vállalaton és a vállalati menedzsment hatáskörén kívül, azok ellenőrzése továbbra is az összvállalati pénzügyi jelentéssel kapcsolatos belső kontrollok (ICFR – Internal Controls over Financial Reporting) részét képezik, azaz a menedzsment feladata marad [8] [9] [10]. Magyarán az igazgatóság, részvényesek, vásárlók, alkalmazottak, üzleti partnerek és szabályozók továbbra is a menedzsmentet tartják felelősnek ezekért a szolgáltatásokért [10].



Ha tehát a menedzsment meg akar ennek felelni, az ellenőrizhetőség végett különböző megelőző (preventív) és észlelő (detektív) kontrollokat kell meghatároznia a cégen belül, amelyek kiegészítik a szolgáltató cég kontrolljait. Ugyanis csak ezek együttesével csökkenthetőek az azonosított kockázatok.

A monitorozás szerepe ■ A kontrollok működését azonban folyamatos monitorozni is kell, mellyel megvalósítható a feldolgozás integritásának ellenőrzése, azaz hogy a vállalat a bevitt információknak megfelelő eredményt kapja-e végeredményül. Csakhogy ez az ellenőrzés nem mindig kivitelezhető – például az egészségügyben, amikor páciensadatok elemzését végző szolgáltatásnál erős személyiségi jogi védelem alatt álló adatokról van szó. Ilyenkor a feldolgozás hatékonyságát a szolgáltatás igénybe vevő csak korlátozottan tudja ellenőrizni.

Ebben az esetben az ellenőrzéshez az US. GAAP (Generally Accepted Privacy Principles) és SOX (Sarbanes–Oxley Act) szabályozások értelmében bekérhet a szolgáltatást nyújtó vállalatról egy független könyvvizsgálók által kibocsátott jelentést. Ezt a jelentést a SAS 70 utódjaként 2010 áprilisában létrejött SSAE 16 is megköveteli [8] [9].

A SAS 70-es riportok főleg a SOX 404-es szekciójának követelményei révén kerültek előtérbe, és egyre fontosabbá váltak a hatékony ICFR (Internal Controls over financial Reporting) folyamatok értékelésénél. Azon vállalatok, melyek rendelkeznek formális kockázatértékelő folyamatokkal – például egy a SOX 404-es szekciójában szereplő megfelelőségi program kapcsán –, azok eredményeit felhasználhatják az SSAE 16 kritériumainak kielégítésére is [8].

Visszatérve a menedzsment felelősségére összefoglalásként elmondható, hogy minden esetben kötelessége megbizonyosodni a folyamatok hatékonyságáról, a megfelelő teljesítmény és stabilitás eléréséről, valamint a törvényi és szerződésben foglalt szabályozásoknak való megfelelőségről. Ehhez pedig a TPA (Third Party Assurance – harmadik félnek nyújtott bizonyosság) riportok megfelelő támaszt nyújthatnak számára [4] [10].

Kibertámodások és a TPA ■ De a menedzsment felelőssége közel sem egyedüli szempont. A TPA szükségességét igazolja az is, hogy az utóbbi években erősen megszaporodtak a kibertámadások. A támadások többségénél arra is fény derült, hogy a megtámadott szervezetnél két vagy több SOC TSP-t is megsértettek, amely jól példázza, hogy a SOC valóban segít a valós fenyegetettségek elleni küzdelemben. Nézzünk néhány példát!

Az első egy az Epsilon Data Management nevű cégnél történt incidens. A cég e-mail marketingszolgáltatást nyújt, évente mintegy 40 milliárd e-mailt küld ki 2500 ügyfele nevében. Egy biztonsági rés kihasználásával a támadóknak sikerült bejutniuk a cég rendszerébe, miáltal sérült a privacy és bizalmasság. A cég klienseinek neve és e-mail címe került illetéktelen kézbe. A megszerzett adatokat megtévesztő e-mailekre alapuló adathalász támadásokhoz lehet felhasználni a későbbiek során.

A másik példa a Sony ellen elkövetett – annak idején nagy vihart kavart – támadás. Playstation hálózatának feltörését követően 70 millió előfizető személyes, hitelkártya és egyéb adatait lopták el. A támadás miatt 23 napig elérhetetlen volt a hálózat, ami 171 millió dollár veszteséget okozott a Sonynak.

A Hyundai Capitalt ért támadás során az autófinanszírozást végző cég adatbázisából 420 ezer vásárló személyes adatát és jelszavát lopták el. Az incidens a cég adatbázisának biztonságosságát, az adatok bizalmasságát és a vásárlói privacy-t veszélyeztette.

Végül pedig az amerikai védelmi minisztérium ért támadás során 24 ezer (katonai és egyéb tartalmú szerzői jogvédett anyagot tartalmazó) fájlt loptak el feltehetően egy külföldi kormány támogatásával a Pentagon szerveréről [3].


Konklúzió ■ A CEO és CFO-kra egyre nagyobb költségcsökkentési nyomás nehezedik, miközben elvárás a szolgáltatások minőségi fejlesztése is. Ez a kettős hatás eredményezte azt, hogy mind több szervezetnél fogalmazódik meg a felhőalapú szolgáltatások iránti igény. Kétségtelen ugyanis, hogy a cloud computing révén javítható a működési hatékonyság, ám a felhő veszélyeket is hordoz. Mielőtt tehát igénybe venne egy szervezet egy felhőszolgáltatást, ki kell értékelnie a vele kapcsolatos általános és egyedi kockázatokat [4]. Ebben segít a TPA részeként a SOC riportok keretrendszere.

Szakirodalom ■ A téma iránt mélyebben érdeklődőknek megadjuk a cikkben hivatkozott szakcikkek pontos adatait.

[1] PwC.(2009), Third Party Assurance – Technology Sector, April 2009, PricewaterhouseCoopers.
[2] PwC.(2009), Third Party Assurance – SaaS Cloud Computing and TPA Services, PricewaterhouseCoopers.
[3] Brizhik, A., Choe V., Taylor, D. (2012), SOC 2 Breakdown, INTERNAL AUDITOR, February 2012.
[4] PwC. (2009), Third Party Assurance – SaaS Cloud Computing, 22nd March 2013.
[5] PwC. (2013), Confidence in the Cloud, www.pwc.co.uk, 22nd March 2013.
[6] AICPA. (2010), Statement on Standards for Attestation Engagements No. 16, Reporting on Controls at a service Organization.
[7] PwC. (2009), The end of SAS70 – what next for Performance Assurance?, PricewaterhouseCoopers.
[8] Rashty, J. (2011), New Guidance for Cloud-Based Service Control Reports, THE CPA JOURNAL, October 2011.
[9] Petersen L. M. (2011), Service organization control reports demisyified, www.cioinsight.com, September/October 2011.
[10] Halterman, C. (2011), Expanding service control reports, www.journalofaccountancy.com, July 2011.
[11] Bell, D., Curran, C., Seale, K. (2012), Building trust and customer confidence with SOC 2 and 3 reports, www.grantthorton.com, 22nd March 2013
[12] SSAE16. (2013), SOC 3 SysTrust/WebTrust | Trust Services Principles and Criteria | What you Need to know, www.ssae16.org
[13] SAS70. (2012), FAQ, www.sas70.com
[14] WebTrust. (2013), Find a Seal: Information on Trust Service Seals, www.webtrust.org
[15] IT Governance Institute. (2008), Aligning Cobit 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefeit, ITGI 2008.
[16] Frost, R. (2012), ISO Survey now available for free download, www.iso.org
[17] ISO27001Security. (2013), FAQ ISMS audit & certification, www.iso27001security.com
[18] Mataracioglu, T., Ozkan, S. (2011), Governing Information Security in Conjunction with COBIT and ISO 27001, International Journal of Network Security & Its Applications, Vol. 3 Issue 4, p111, July 2011.
[19] EuroCloud. (2013), EuroCloud Star Audit Requirements, www.saas-audit.de
[20] EuroCloud. (2013), EuroCloud Star Audit FAQ, www.saas-audit.de