Bezpečnostní opatření v čistě cloudových organizacích

28. 5. 2022

S příchodem cloudových služeb (SAAS – Software As A service) vznikly téměř okamžitě i organizace, které zcela vyloučily využití klasických IT útvarů i podnikových ITíků a zaměřily se pouze na cloudové služby. S těmito čistými organizacemi jsme se prvně setkali v roce 2021 při provádění implementací GDPR společně s ISO 27001. Kladli jsme si otázku, jak tyto organizace zajistit z hlediska bezpečnosti na přijatelnou úroveň, aby úspěšně prošly certifikací výše uvedených norem. Výsledky projektů jsme zobecnili a nyní je předkládáme k zamyšlení.    Cloudová organizace Pro pochopení předložených bezpečnostních opatření vymezujeme typickou čistě cloudovou organizaci a oblasti bezpečnosti, které se jí týkají. Vše strukturujeme podle normativní přílohy A normy ISO 27001. V zásadě se jedná o organizaci, která v místě práce zaměstnanců nedisponuje sítí, servery, doménou atp., ale pouze připojením k internetu . . .

Jak nezaplevelit organizaci bezpečnostními standardy

28. 11. 2021

Motivací tohoto článku je poskytnout informace z oblasti nejlepší praxe při zavádění, aktualizaci či revizi Obecného nařízení (GDPR) v organizacích, v nichž se již uplatňují další systémy řízení bezpečnosti informací podle různých další standardů či zákonných předpisů. Období mezi lety 2010 a 2020 bychom jako IT pracovníci mohli označit jako dobu rozkvětu systému řízení bezpečnosti. Organizace disponují více či méně kvalitními informační systémy, které pokrývají většinu aplikačních požadavků a začínají se orientovat na bezpečnost, jež pro ně symbolizuje udržení byznysu ve stávající podobě. Zejména jde o minimalizaci incidentů s dopadem na klienty a pověst organizace ve veřejném mínění. Jako hlavní oblasti řešení lze uvést následující předpisy:  ISO 27001 Information Security Management Systém – ISMS Zákon o kybernetické bezpečnosti – ZKB (2014), Vyhláška o kybernetické bezpečnosti – VKB   General Data Protection Regulation – GDPR . . .