A kitűnni vágyó MSP-k (menedzselt szolgáltatók) számára a Compliance as a Service (CaaS) nyújtása lehet a kulcs a sikerhez. Az MSP Success felmérése szerint az MSP-k 73%-a tapasztalja a megfelelőségi szolgáltatások iránti igény növekedését, a többségük mégis nehezen tart lépést az elvárásokkal. Vegyük példaként a GDPR-t és a SOC 2-t: a GDPR az uniós magánszemélyek adatvédelmének és biztonságának megerősítésére összpontosít, mégis az MSP-knek mindössze 32%-a felel meg az előírásainak. A SOC 2 az ügyféladatok védelmét célozza folyamatos audit-ellenőrzéseken keresztül, azonban az Infrascale adatai szerint az MSP-k csupán 15,5%-a felel meg ennek a szabványnak.
Azok az MSP-k, akik tartják a lépést, a megfelelőség (compliance) révén kitűnhetnek a tömegből. Ugyanakkor a Compliance as a Service nyújtása távolról sem egyszerű feladat. Az MSP-knek különböző iparágak, régiók és ügyfelek eltérő szabályozási követelményei között kell navigálniuk – ami gyakran jelentős operatív többletköltséggel és adminisztrációs terhekkel jár. Ebben a cikkben vázoljuk azokat az alapvető megfelelőségi kontrollokat, amelyeket az MSP-knek prioritásként kell kezelniük, és bemutatjuk, miként teszi mindezt egyszerűbbé az ActiveProtect.
Gyakori megfelelőségi előírások, amelyekkel az MSP-k szembesülnek
A lokációtól és az ügyfél iparágától függően eltérőek lehetnek azok a jogszabályok, amelyeknek meg kell felelnie. Az alábbiakban bemutatjuk azokat a leggyakoribb szabályozásokat, amelyekkel a menedzselt szolgáltatók találkozhatnak:
-
ISO 27001: Az ISO 27001 az információbiztonsági irányítási rendszerek (ISMS) nemzetközileg elismert szabványa, amely bármilyen méretű szervezet számára alkalmazható, beleértve a menedzselt szolgáltatókat is. A szabvány a strukturált biztonsági kontrollok kialakítására összpontosít, biztosítva az információk bizalmasságát, sértetlenségét és az adatok rendelkezésre állását.
-
GDPR: Az általános adatvédelmi rendelet (GDPR) egy átfogó uniós jogszabály, amely szabályozza az EU-ban élő magánszemélyek személyes adatainak gyűjtését, feldolgozását és védelmét. Minden olyan menedzselt szolgáltatóra vonatkozik, amely uniós személyes adatokat kezel – függetlenül a szolgáltató székhelyétől –, és hangsúlyozza az adatok sértetlenségét, bizalmasságát, rendelkezésre állását és az elszámoltathatóságot.
-
HIPAA: The Health Insurance Portability and Accountability Act (HIPAA) egy amerikai szabályozás, amelynek célja az elektronikus védett egészségügyi adatok (ePHI) biztonságának garantálása. Azon menedzselt szolgáltatókra vonatkozik, amelyek az egészségügyi szektorban tevékenykedő ügyfeleket támogatnak – többek között kórházakat, klinikákat és egészségbiztosítókat. A HIPAA adminisztratív, fizikai és technikai óvintézkedéseket ír elő az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása érdekében.
-
SOC 2: A SOC egy olyan megfelelőségi keretrendszer, amelyet az Amerikai Bejegyzett Könyvvizsgálók Intézete (AICPA) fejlesztett ki a szolgáltatók ügyféladat-kezelésének értékelésére. A SOC-jelentések közé tartozik a SOC 1, a SOC 2 és a SOC 3. Ezek közül a széles körű piaci elismertsége miatt a legtöbb menedzselt szolgáltató a SOC 2 minősítést célozza meg. Ez az audit a bizalmi szolgáltatási kritériumokon (Trust Services Criteria) alapul, amelyek magukban foglalják a biztonságot, a rendelkezésre állást, a bizalmasságot, az adatvédelmet és a sértetlenséget.
-
CMMC: The Cybersecurity Maturity Model Certification (CMMC) az Egyesült Államok Védelmi Minisztériuma által létrehozott keretrendszer, amelynek célja a védelmi beszállítói láncban található érzékeny adatok védelme. Azon menedzselt szolgáltatókra (MSP-kre) vonatkozik, amelyek a védelmi minisztérium beszállítóit támogatják. A rendszer érettségi szinteket határoz meg a kötelező kiberbiztonsági gyakorlatokkal, különös tekintettel a hozzáférés-kezelésre, az incidenskezelésre és az adatvédelemre.
Bár minden szabályozás eltérő módon van megfogalmazva, végső soron ugyanazt az eredményt követelik meg. A GDPR-t, a HIPAA-t és a SOC 2-t példaként véve: bár a konkrét rendelkezések változhatnak, az alapvető kontrollkövetelmények nagymértékben átfedik egymást.
| GDPR | HIPAA | SOC 2 |
| Adatok helyreállíthatósága | ||
| GDPR 32. cikk (1) (c): „…fizikai vagy műszaki incidens esetén az egyensúlyi állapot helyreállítására, valamint a személyes adatokhoz való hozzáférés és az adatok rendelkezésre állásának kellő időben történő visszaállítására való képesség.” | HIPAA § 164.308: „Olyan eljárásrendek kidolgozása (és szükség szerinti alkalmazása), amelyek célja bárminemű adatvesztés helyreállítása.” | Hangsúlyozza a helyreállítási folyamatok rendszeres tesztelésének fontosságát, annak biztosítása érdekében, hogy a rendszerek incidensek vagy üzemzavarok után is visszaállíthatóak legyenek. |
| Hozzáférés-kezelés | ||
| GDPR 25. cikk (2): Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint ne kerülhessen sor személyes adatoknak az érintett beavatkozása nélkül meghatározatlan számú természetes személy számára történő hozzáférhetővé tételére. | HIPAA § 164.312: „Olyan irányelvek és eljárások bevezetése az elektronikus információs rendszerekre vonatkozóan, amelyek elektronikus védett egészségügyi adatokat kezelnek, annak érdekében, hogy a hozzáférést kizárólag azon személyek vagy szoftverprogramok számára tegyék lehetővé, akik/amelyek részére hozzáférési jogot biztosítottak.” | Logikai hozzáférés-kezelési kontrollok bevezetése a rendszerekben és az infrastruktúra egészében, biztosítva, hogy kizárólag a felhatalmazott felhasználók férhessenek hozzá az érzékeny információkhoz. |
| Adatok bizalmassága | ||
| GDPR 32. cikk (1) (a): „…a személyes adatok álnevesítése és titkosítása.” | HIPAA § 164.312: „Olyan mechanizmus bevezetése, amely alkalmas az elektronikus védett egészségügyi adatok (ePHI) titkosítására és titkosításának feloldására.” | Megköveteli a szervezetektől olyan óvintézkedések alkalmazását, amelyek biztosítják az információk védelmét az adattovábbítás és az adattárolás során egyaránt.Simplify compliance with ActiveProtect’s all-round safeguards |
Tegye egyszerűbbé a megfelelőséget az ActiveProtect átfogó védelmi megoldásaival!
A különféle szabályozások útvesztőjében való eligazodás nyomasztónak tűnhet, de a megfelelőség fenntartása nem kell, hogy nehézséget okozzon. A Synology ActiveProtect számos olyan beépített funkciót kínál, amely segít az MSP-knek teljesíteni a különböző előírásokban szereplő közös megfelelőségi követelményeket:
| Megfelelőségi kontrollok | Hogyan segít az ActiveProtect? |
| Adat-helyreállíthatóság |
|
| Mentések sértetlensége |
|
| Adatmegőrzés-kezelés |
|
| Hozzáférés-kezelés |
|
| Adatbizalmasság |
|
| Adathelyszín |
|
| Elszámoltathatóság és audit-készség |
|
1. Adat-helyreállíthatóság:
Az ActiveProtect többrétegű megközelítést alkalmaz a helyreállíthatóság biztosítására. Minden mentés után a visszaállítási készség automatikusan ellenőrzésre kerül a mentés-validáláson keresztül, a folyamatról pedig – megfelelőségi bizonyítékként – videófelvétel készül. Emellett az MSP-k helyreállítási gyakorlatokat futtathatnak elkülönített mentési másolatokon a beépített homokozó (sandbox) segítségével, ami lehetővé teszi a visszaállítás ellenőrzését anélkül, hogy külön környezeteket kellene felállítani, vagy megzavarnák az éles rendszereket az egyes ügyfeleknél.
2. Mentések sértetlensége:
A mentések sértetlenségének fenntartása érdekében az összes kezelt ügyfélnél, az ActiveProtect proaktívan védi az adatokat manuális felügyelet nélkül. Az önjavító mechanizmusok folyamatosan észlelik és javítják az adatok esetleges inkonzisztenciáit. A natív WORM (Write-Once-Read-Many) technológia egyetlen beállítással engedélyezhető, megakadályozva bármilyen jogosulatlan módosítást vagy törlést. Erre a módosíthatatlansági alapra építve az „air-gapped” védelem tovább izolálja a mentési másolatokat, elejét véve a zsarolóvírus-támadásoknak, és megőrizve a tiszta, megbízható adatokat a helyreállításhoz. Az „air gap” technológiáról itt olvashat bővebben.
3. Adatmegőrzés-kezelés:
Az ActiveProtect leegyszerűsíti az adatmegőrzés kezelését azáltal, hogy a WORM-védelmet egy okos törlés elleni védelemmel (retention lock) egészíti ki, amely automatikusan illeszkedik a megőrzési szabályzatokhoz. Hosszú távú megőrzést igénylő adatok esetén az ActiveProtect támogatja az adatszintezést (tiering), azaz a régebbi mentéseket automatikusan alacsonyabb költségű távoli tárolókra mozgatja, segítve az MSP-ket a költségek csökkentésében a megfelelőség fenntartása mellett. Amikor az adatok mentésére már nincs szükség – például egy ügyfél alkalmazottjának távozásakor és fiókjának megszüntetésekor –, a rendszer automatikusan leállítja a további mentéseket, majd egy meghatározott idő elteltével biztonságosan törli az adatokat.
4. Hozzáférés-kezelés:
Az ActiveProtect integrálódik a Windows AD és LDAP rendszerekkel, valamint támogatja az SSO-alapú hitelesítést, lehetővé téve az olyan módszerek használatát, mint a 2FA/MFA. A hitelesítést követően az ActiveProtect lehetővé teszi az MSP-k számára a hozzáférések delegálását részletes, szerepkör alapú hozzáférés-szabályozáson (RBAC) keresztül, legyen szó jogosultságok kiosztásáról az MSP csapatán belül, vagy ellenőrzött hozzáférés biztosításáról az ügyfelek számára. Ez biztosítja, hogy csak a felhatalmazott felhasználók végezhessenek el konkrét műveleteket a számukra kijelölt hatókörön belül.
5. Adatbizalmasság:
Az ActiveProtect WORM-technológiával védi a mentési adatokat a jogosulatlan módosítások vagy törlések megelőzése érdekében. A további védelem érdekében a távoli tárolókra továbbított mentési másolatokat AES-256 titkosítás biztosítja mind továbbítás közben, mind tároláskor, miközben azok továbbra is módosíthatatlanok maradnak. Ez a rétegzett kialakítás megvédi az érzékeny adatokat a jogosulatlan közzétételtől, törléstől és módosítástól, miközben teljesíti a megfelelőségi követelményeket anélkül, hogy veszélyeztetné a vállalati helyreállítási időre vonatkozó (RTO) célkitűzéseket. Kattintson ide, és tudja meg, hogyan integrálja az ActiveProtect mindkét megoldást.
6. Adathelyszín:
Az ActiveProtect teljes kontrollt biztosít az MSP-k számára az ügyféladatok tárolási helye felett. A helyszíni (on-premises) telepíthetőségnek és a több földrajzi helyszínt átfogó (multi-geo) menedzsmentnek köszönhetően a rendszer automatikusan azonosítja az adatok származási helyét, és biztosítja, hogy azok a helyi szervereken maradjanak. Ez segít az MSP-knek abban, hogy bonyolult manuális irányítás nélkül teljesítsék az adathelyszínre vonatkozó követelményeket.
7. Elszámoltathatóság és audit-készség:
Az ActiveProtect egyszerűvé teszi a megfelelőségi bizonyítékok előállítását és megosztását. A rendszer automatikusan generálja és kézbesíti a részletes mentési és helyreállítási tevékenységekről szóló riportokat, lehetővé téve az MSP-k számára, hogy gyorsan hitelesíthető bizonyítékokat szolgáltassanak az ügyfelek vagy auditorok felé. Ezzel párhuzamosan a mindenre kiterjedő audit-naplók továbbíthatók központi rendszerekbe elemzés és megőrzés céljából, segítve az MSP-ket a nyomonkövethetőség fenntartásában, az incidensek kivizsgálásában és az elszámoltathatóság igazolásában.
Mivel a megfelelőségi követelmények iparágtól és régiótól függetlenül egyre szigorodnak, az MSP-k többé nem tekinthetnek a compliance-re utólagos feladatként. A sikerhez vezető első lépés egy olyan megfelelőség-központú mentési megoldás kiválasztása, amely skálázható alapot biztosít a Compliance-as-a-Service (CaaS) szolgáltatáshoz, és csökkenti a működési komplexitást a versenypiacon.
Kattintson ide, és tudjon meg többet az ActiveProtectről.