TFL Vsebine / TFLGlasnik

1. STORITVE V OBLAKU IN Z NJIMI POVEZANA TVEGANJA

Izvajanje poslovnih procesov v organizacijah je večinoma podprto z informacijsko tehnologijo. Informacijska podpora mora biti vzpostavljena tako, da njena uporaba zagotavlja učinkovito doseganje ciljev organizacije. V veliko panogah se informacijska podpora vsaj do neke mere izvaja kot storitev v oblaku. Računalništvo v oblaku pomeni nabor računalniških entitet (to so strežniki oziroma specializirana strojna, sistemska in programska oprema, ki uporabniku omogoča izrabo procesorske moči, delovnega spomina, prostora za hrambo podatkov in omrežnih povezav na infrastrukturni ravni, kot platforma ali neposredno kot storitev), ki so povezane v arhitekturi. Ta se upravlja centralno in je namenjena več odjemalcem hkrati, posameznemu odjemalcu (uporabniku) pa dostopna na enostaven način (po internetni povezavi).

Modelov storitev v oblaku je več, osnovni pa so:

• Zasebni oblak je vzpostavitev interne infrastrukture z dinamičnim upravljanjem virov glede na potrebe Vzpostavljen je znotraj organizacije in se upravlja centralno. Zasebni oblak lahko upravlja organizacija sama ali ga zanjo upravlja zunanji izvajalec.

• Javni oblak: infrastruktura in upravljanje je vzpostavljeno zunaj organizacije, odjemalci najemajo kapacitete in vrsto storitve po potrebi pri zunanjem izvajalcu.
• Hibridni oblak je kombinacija obeh prejšnjih pristopov.

V prispevku se osredotočimo na uporabo ali zagotavljanje storitev v javnem oblaku. Organizacije se večinoma pojavljajo v vlogi uporabnika storitev javnega oblaka. S tem se izognejo večjim vlaganjem v informacijsko infrastrukturo in zagotavljanju osebja za njeno upravljanje, so pa izpostavljene tveganjem, povezanim z razpoložljivostjo podatkov in zaupnostjo podatkov (saj so podatki shranjeni in se obdelujejo zunaj organizacije). Motnje in zakasnitve v delovanju storitev v oblaku lahko vplivajo na učinkovitost delovanja informacijske podpore, to pa na učinkovitost izvajanja poslovnih procesov. Neželeno razkritje ali izguba podatkov lahko vpliva na tveganja izgube ugleda in prejema kazni zaradi kršenja predpisov.

Tveganja ponudnikov storitev v oblaku (ki zagotavljajo storitve v oblaku na trgu) so povezana predvsem z izgubo ugleda in finančnimi posledicami ob nedoseganju predpisane in dogovorjene ravni kakovosti izvedbe storitev v oblaku. Ponudniki morajo imeti tudi ustrezno strategijo razvoja in upravljanja storitev v oblaku, saj so za kakovostno izvajanje teh potrebna velika vlaganja (značilna tudi pri vzpostavitvi in vzdrževanju zasebnega oblaka).

Na trgu prevladujejo tuji globalno uveljavljeni ponudniki storitev v oblaku javnega oblaka, kot so Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform, IBM Cloud in Oracle Cloud Infrastructure. Med njimi najdemo tudi nekaj ponudnikov v EU-ju, kot so OVHcloud Public Cloud, IONOS in Serverspace.¹ Nekaj ponudnikov prav tako najdemo v Sloveniji (npr. Telekom Slovenije, Pošta Slovenije - PosITa, UnistarPRO – Cloud).² Navedeni so predvsem primeri ponudnikov z lastnimi kapacitetami podatkovnih centrov, mnogo več pa je ponudnikov namenskih programskih rešitev v oblaku, ki niso vedno velike organizacije.

2. VLOGA NOTRANJE REVIZIJE PRI REVIDIRANJU STORITEV V OBLAKU

Glede na svetovne trende, ki kažejo vedno obširnejšo uporabo storitev v oblaku,³ lahko pričakujemo vedno večji vpliv tveganj, ki jih to prinaša. Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju v točki standarda 2010 Načrtovanje⁴ predpisujejo, da mora vodja notranje revizije izdelati na tveganjih zasnovan načrt, v katerem določi prednostne naloge notranje revizije v skladu s cilji organizacije (Slovenski inštitut za revizijo, 2017). Zato je pri načrtovanju notranje revizije treba presoditi vpliv teh tveganj na doseganje ciljev organizacije in jih vključiti v načrt dela notranje revizije.

Pri notranji reviziji storitev v oblaku moramo ločiti, ali bomo upravljanje storitev v oblaku revidirali z vidika ponujanja oziroma zagotavljanja storitev v oblaku na trgu (če je organizacija v vlogi ponudnika storitev v oblaku) ali z vidika uporabe storitev v oblaku (če je organizacija uporabnik storitev v oblaku). Pri uporabi storitev v oblaku mora notranji revizor ugotoviti, za kateri namen se uporabljajo – kot informacijska podpora za izvajanje aktivnosti poslovnih procesov organizacije, lahko pa so storitve v oblaku gradniki arhitekture storitev, ki jih organizacija ponuja na trgu svojim uporabnikom. Z notranjo revizijo storitev v oblaku podamo zagotovilo na področjih varnosti, skladnosti s predpisi in učinkovitosti uporabe ali zagotavljanja storitev v oblaku. Običajno je neposredno preverjanje delovanja kontrol pri ponudnikih storitev v oblaku omejeno ali ni možno, zato se opremo tudi na zagotovila neodvisnih revizij in presoj, ki so na voljo (npr. poročila SOC2).

Pri večjem obsegu in/ali kompleksnosti uporabe ali zagotavljanju storitev v oblaku je treba upoštevati omejitve virov v notranji reviziji in skladno s tem prilagoditi obseg, na primer posel izvajati v več delih (glede na oceno tveganj pri doseganju ciljev organizacije) in/ali priskrbeti dodatne (strokovno ustrezne) vire.

Za načrtovanje in pripravo delovnega programa notranjerevizijskega posla je na voljo nekaj gradiv, ki jih lahko uporabimo za sodila, npr. Smernice informacijske varnosti za storitve v oblaku ISO/IEC 27017⁵ (ki se uporabljajo skupaj s standardoma ISO/ IEC 27001 in ISO/IEC 27002), smernice za storitve v oblaku kontrolnega okvira CIS (CIS Controls v8 Cloud Companion Guide) in okvir CCM (Cloud Control Matrix)⁶ organizacije Cloud Security Alliance. Temeljni pogoj za učinkovito izvedbo notranje revizije je dobro poznavanje okolja, kjer se storitve v oblaku uporabljajo ali zagotavljajo. Notranji revizor mora za ustrezno razumevanje tveganj poznati načine oziroma vrste storitev v oblaku, ki se uporabljajo ali zagotavljajo in so naslednji:⁷

• infrastruktura kot storitev (angl. Infrastructure as a Service IaaS), najeti virtualni računalnik s procesorsko, pomnilniško in prostorsko zmogljivostjo, operacijskim sistemom in omrežno zmogljivostjo;

• platforma kot storitev (angl. Platform as a Service – PaaS), kjer je uporabniku na voljo tudi okolje za razvoj aplikacij/obdelavo podatkov;
• programska oprema kot storitev (angl. Software as a Service SaaS), kjer se izvaja neposredno programska rešitev/aplikacija, po navadi dostopna s spleta.

Pri IaaS so obveznosti ponudnika storitev v oblaku običajno manjše (saj zagotavljajo le izvajanje storitve navideznega strežnika/infrastrukture v smislu procesne, pomnilniške in diskovne kapacitete, povezljivosti in operacijskega sistema) kot pri SaaS (kjer je treba vzdrževati tudi programsko opremo in celotno okolje za izvajanje programske opreme). Drugače pa so pri uporabniku tveganja in napor, povezani z upravljanjem storitve v oblaku, pri SaaS manjši (celoten razvoj in vzdrževanje programske opreme je stvar ponudnika) kot pri IaaS (kjer mora uporabnik vzpostaviti celotno okolje od operacijskega sistema do delujoče informacijske rešitve, ki jo bo uporabljal na infrastrukturi javnega oblaka).

Celoten prispevek je dostopen za naročnike!