U članku “ZaÅ¡to ISO 27001 (možda) nije dovoljan” osvrnuli smo se na činjenicu kako razvoj sustava koji prate kvalitetu ISMS-a (možda!) ne prati dovoljno brzo tehnoloÅ¡ki razvoj. Naravno, sustavi upravljanja kvalitetom temelje se na fleksibilnosti i tako su “univerzalni” i “uvijek primjenjivi” – dovoljno je reći kako Annex A ne predstavlja definitivni skup kontrola, nego svaka organizacija može dodati kontrole koje nisu u njemu predviÄ‘ene.

Ostavimo za sada po strani ISO sustave i prokomentirajmo npr. SaaS (Software as a Service) koncept koji već nekoliko godina pružaju mnoge softverske kuće u Hrvatskoj i svijetu koje proizvode specijalizirane softvere. Cijela priča izgleda dobro –  softver radi na gotovo svim računalima koja imaju Internet browser tako da nisu potrebna ulaganja u novu opremu, cijena komunikacijskih linkova danas je toliko pala da predstavlja za manje i srednje firme gotovo zanemariv troÅ¡ak u odnosu na sve ostale troÅ¡kove poslovanja a Å¡to je najvažnije, SaaS koncept omogućuje tretiranje računalnog softvera kao usluge, čime se smanjuje potreba za većom količinom novčanih sredstava kojima bi se kupio softver kao stalna imovina, osobito ako je broj računala veći. Upravljanje licencama je isto jednostavno, tako da u slučaju smanjenja ili povećanja poslovne aktivnosti, ovisno o ugovoru, dovoljno je deklarirati povećanu ili smanjenu količinu licenci u sljedećem razdoblju. Naravno, u praksi se pokazalo kako su CIO-i vrlo nezadovoljni implementirani SaaS sustavima o čemu se viÅ¡e može pročitati u ovom članku.

Koncentrirajmo se na trenutak na sigurnost takvih sustava. Mnoge tvrtke u Hrvatskoj koriste SaaS softver za svoje interno računovodstvo, ali i za core business, odnosno CRM i B2B/B2C sustave bez da je ijedna sekunda promiÅ¡ljanja potroÅ¡ena na pitanja kao Å¡to su – gdje su zapravo ti podaci, tko su tvrtke koje pružaju SaaS softver, koja im je reputacija, da li su ugovorom definirane obaveze proizvoÄ‘ača po pitanju kontinuiteta poslovanja, postoje li sustavi oporavka od katastrofe… joÅ¡ gora je situacija kod onih pružatelja aplikativnih rjeÅ¡enja, a takvih je većina, koji svoje aplikacije “hostaju” na stranim serverima, najčešće koristeći najjeftinije solucije kako bi smanjili vlastite troÅ¡kove poslovanja, a koji niti da hoće, ne mogu odgovoriti niti na jedno od postavljenih pitanja.

Na pitanje da li bi povjerili strancu na ulici svoj novčanik, većina onih koji su implementirali takve sustave odgovorili bi niječno, no sudbinu dobrog dijela svog poslovanja povjerili su nepoznatim tvrtkama o kojima ne znaju ništa, koristeći distribuirane sustave obrade podataka o kojima znaju još manje.

Prema tome, svi koji koriste SaaS tehnologiju,trebali bi minimalno koristiti tehniku “dobrog gospodara” i smjernice koje daje Gartner za sigurnost cloud computing sustava ili sustava distribuirane, dislocirane i eksternalizirane obrade podataka.

1. Adresiranje rizika pristupa podacima – potrebno je znati koje osobe, funkcije ili instance imaju fizički pristup podacima, poÅ¡to su svi podaci u informacijskom oblaku na kraju krajeva ipak negdje fizički sadržani. U okviru toga treba biti siguran kako se pravila fizičkog pristupa podacima u tim tvrtkama uvijek i neizostavno poÅ¡tuju
2. Potrebno je znati gdje se točno fizički nalaze smješteni podaci odnosno aplikacije, o kojoj se fizičkoj lokaciji odnosno državi radi, te da li se pružatelj usluga serverskog hostinga doista pridržava dogovorenih normi po pitanju sigurnosti podataka (nadam se kako je jasno da sve ovo treba definirati ugovorom a i nezavisnim auditom ako se to smatra potrebnim!)
3. Potrebno je točno definirati strategije izrade rezervnih kopija, raspoloživnosti podataka te strategije kontinuiteta poslovanja u čitavom lancu, od hostinga, preko proizvođača softvera do samog korisnika
4. Za slučaj izlaska iz posla bilo koje od uključenih stranaka (pružatelj hostinga, proizvođač softvera, pružatelji telekomunikacijskih interkonekcija), potrebno je ugovorno definirati strategije i postupke kontinuiteta korištenja podataka i usluga, odnosno uvjete prekida pružanja usluga
5. Potrebno je internim dokumentom definirati potrebne razine usluga kroz interne i vanjske SLA ugovore o čemu će ovisiti i investicije – nije isto da li je potrebna raspoloživost 95, 99 ili 99,99 % vremena.

Tek nakon Å¡to se primijeni ova metodologija uz standardnu ISO 27001 “lingvistiku”, te nakon Å¡to se izradi detaljna analiza rizika uz mjere umanjivanja, uklanjanja ili transfera rizika, moguće je napraviti standardnu “buy or lease”, a u ovom slučaju “own or cloud-away” analizu koja će u večini slučajeva ipak potvrditi razočaranje anketiranih CIO-ova po pitanju isplativosti cloud computinga koji se “isplaćuje na rate” i “nečija je tuÄ‘a briga”.