Zděděná compliance – chytrý tah pro rozpočet IT
Když se řekne compliance, spoustě manažerů se okamžitě vybaví vysoké náklady na její plnění. V IT jde ale i tyto náklady optimalizovat – neboli snížit.
Dodržování legislativních požadavků bude pro firmy v Evropské unii znamenat stále více práce. Přišlo GDPR, nyní se přidává NIS2, AI Act a do toho se ještě také můžeme bavit o unijních požadavcích na regulovaná odvětví nebo kritickou infrastrukturu.
Tento rostoucí trend spoustu firem děsí, protože zajištění souladu s bezpečnostními povinnostmi není žádná levná legrace. Nejde totiž pouze o sepsání povinných dokumentů, compliance v IT souvisí také s investicemi do infrastruktury a kvalifikovaných odborníků.
I přes všechna tato negativa je ale možné investice a náklady na compliance minimalizovat. Je totiž možné část souladu s předpisy zdědit od poskytovatele. V tomto článku se zaměříme na poskytovatele cloudu nebo cloudových služeb a zjistíme, jak takového providera vybrat, abyste po něm compliance zdědili na maximum. Nejprve ale ještě několik slov k legislativě samotné.
Co vše musí firmy v EU dodržovat?
Není toho málo. Některá nařízení jsou sice specifická pro konkrétní odvětví, ale dost z nich se vztahuje na všechny organizace bez ohledu na obor. V následující tabulce najdete přehled jednotlivých nařízení a jejich pole působnosti:Hlavně pokud je naše úloha v IT, tak rozšiřujeme možnosti kde se dá. Co vlastně ale škálovatelnost má na starosti, jak může vypadat a hlavně, jak ji můžete naplno využívat ve své firmě a na svém typu infrastruktury. na to vše se podíváme v dnešním článku.
Jak už jsme si řekli, legislativa není jen o byrokracii. V rámci těchto předpisů je nutné, aby firmy předkládaly důkazy o souladu, zajišťovaly pravidelné audity a aktualizovaly bezpečnostní opatření.
Z toho plyne i finanční náročnost plnění. Kategorie nákladů na compliance tak zahrnuje konzultace, certifikace, zpracování nezávislých auditů, vytvoření potřebné dokumentace nebo třeba provoz interního compliance týmu.
Jak ale udržet ve firmě compliance v takových mezích, aby se nestala přílišnou zátěží pro běžný provoz? V prvé řadě se zaměříme na infrastrukturní část firemního IT.
Jak může správný poskytovatel vaší firmě ulevit s compliance?
Jednoduše řečeno, nejste na všechno sami. Jsou oblasti, ve kterých stačí, když má compliance splněnou váš dodavatel. Vám tyto kroky pak odpadají. Jak to vypadá v praxi?
Pokud bychom vzali situaci, že máte IT infrastrukturu u sebe a konkrétně ve své správě. Pak musíte mimo provozu zajistit ještě toto:
Kybernetická bezpečnost (NIS2, CER)
- Politiky řízení přístupů, segmentace sítí, šifrování
- Detekce a reakce na incidenty, pravidelné testy a audity
- Zálohování a disaster recovery plán
- Fyzická ochrana datacentra (kontrola vstupu, CCTV, redundance napájení)
- Povinné hlášení incidentů ve stanovených lhůtách
Ochrana osobních údajů (GDPR, ePrivacy)
- Záznamy o zpracování údajů
- Technická opatření (šifrování, pseudonymizace) Organizační opatření (školení zaměstnanců, řízení dodavatelů)
- Postupy pro vyřizování práv subjektů údajů
- Správa cookies a marketingových souhlasů
Odvětvové regulace (např. DORA, PSD2, eIDAS)
- Testy provozní odolnosti a řízení rizik dodavatelů
- Silná autentizace uživatelů a ochrana API
- Certifikované systémy pro elektronické podpisy a pečeti
Normy a rámce (ISO 27001, ISO 27017, ISO 27018, ENISA)
- Zavedení ISMS a procesů řízení rizik
- Dokumentace a interní audity
- Osvědčené bezpečnostní postupy (např. Zero Trust)
Není toho málo. Pokud ale zvolíte cloudového poskytovatele správně, pak můžete zdědit tyto body compliance a už ji neřešit:
Kybernetická bezpečnost
- Provider pokryje: fyzickou ochranu DC, síťovou bezpečnost, redundanci, zálohy infrastruktury, část incident response
- Zákazník řeší: konfiguraci infrastruktury a aplikací, přístupová práva, specifické šifrování dat, reakci na aplikační incidenty
Ochrana osobních údajů
- Provider pokryje: technické prostředky pro ochranu dat (šifrování, izolace tenantů), GDPR-ready prostředí
- Zákazník řeší: procesní část GDPR, marketingová a cookie pravidla, školení
Odvětvové regulace
- Provider pokryje: technickou a infrastrukturní část požadavků (např. DORA, NIS2), certifikace
- Zákazník řeší: aplikační logiku, procesy, smluvní ujednání
Normy a rámce
- Provider pokryje: většinu certifikací (ISO 27001, 27017, 27018, SOC 2) pro infrastrukturu
- Zákazník řeší: vlastní interní procesy a audity ve svém rozsahu
Tomuto principu se říká „Shared Responsibility Model“ (model sdílené zodpovědnosti). Důležité je tam to slovíčko sdílená, protože neexistuje situace, kdy dodavatel převezme veškerou odpovědnost za compliance.
Správná volba vám může pokrýt spoustu povinností. Samozřejmě, že nemůžete všechno přehodit na poskytovatele, ale můžete s ním na compliance spolupracovat tak, aby to vedlo k plnému souladu vaší firmy s právními předpisy a s minimalizaci nákladů.
Jak se dá uspořit?
Tak jako u každé oblasti i u compliance se pomocí sdílené zodpovědnosti dají náklady snížit dvěma způsoby – na provozu a na následcích.
Dříve v článku jsme si vyjmenovali podkategorie nákladů, které s compliance povinností narůstají. Pokud ale vyberete dodavatele cloudu správně, pak nepotřebujete tolik interních odborníků, odpadnou vám náklady na certifikáty a audity a také nebudete muset tolik investovat do infrastruktury.
Váš dodavatel také bude mít vysoce specializovaný tým odborníků, který bude řešit incidenty a problémy. Vaší firmě se tedy snižuje zátěž, kterou by tyto negativní stavy vyvolaly.
Kolik konkrétně uspoří vaše firma, to si můžete jednoduše spočítat. Můžete si vzít seznam opatření, která musíte zajistit a dopsat si k nim částky. Pak součet porovnejte s náklady na provoz cloudu u poskytovatele, se kterým se o compliance zodpovědnost podělíte. Tento výpočet vám napoví, co je pro vás správnou cestou.
Platí to pouze pokud si vyberete správně
To vše, o čem se bavíme, ale platí pouze za předpokladu, že si poskytovatele cloudové infrastruktury vyberete správně.
Takový výběr nemůže záviset ani na brandu poskytovatele, ani na ceně. Primárně by vás měly zajímat fakta, která podloží schopnost dodavatele zajistit vám model sdílené zodpovědnosti.
Tato fakta by se měla týkat compliance, kterou dodržuje samotný poskytovatel. Pod která nařízení spadá a jak je plní? Měl by být schopný vám předložit certifikáty a také další dokumentaci, pokud tedy neobsahuje proprietární informace.
Zároveň by vás mělo zajímat, kde se vaše data budou nacházet a pod jakou jurisdikci dodavatel spadá. Neevropští dodavatelé představují zásadní riziko vzhledem k americkému zákonu Cloud Act (více o potenciální nespolehlivosti vzhledem k GDPR najdete v tomto článku).
Také potřebujete znát, jaké možnosti SLA dodavatel nabízí a jestli vám pomůže zajistit provoz i při výpadku (například pomocí služby disaster recovery).
Platí sdílená zodpovědnost pouze pro cloud?
To záleží na tom, co si pod slovem cloud představíte. Následující tabulka k tomu řekne víc.
Nejde tedy úplně o typ infrastruktury, kterou zvolíte, ale o způsob poskytování této služby a produkty, které se na ni budou vázat. Proto je velmi důležité udělat si analýzu potřeb. Zjistíte tak, do jaké míry potřebujete s compliance pomoct.
Compliance už tu zůstane
I z toho důvodu je potřeba IT infrastrukturu vnímat nejen jako nákladovou položku, na které vlastně nezáleží. Výběr druhu IT infrastruktury úzce souvisí se strategickým směřováním firmy a dokáže hodně zamíchat s efektivitou a náklady.
Nejprve se tedy podívejte na to, k čemu IT potřebujete. To pak vašemu IT partnerovi napoví, jakou architekturu zvolit. Pak vám z toho také vyplynou požadavky na compliance a míra sdílené zodpovědnosti. Vše je to ale o konkrétním stavu dané firmy.
Nutnosti dělat kroky k souladu s právním řádem se žádná firma zbavit nemůže. Co ale udělat můžete, je zjistit, do jaké míry vám volba správného dodavatele cloudu v tomto ohledu uleví.
Nedejte tedy na lesk značky nebo zajímavou cenovku. Zajímejte se o dodavatele více do hloubky, aby to, co se snižuje, byly vaše povinnosti v rámci compliance a ne schopnost ji ufinancovat.
