Serwery dedykowane OVH objęte certyfikacją ISO 27001

14 marca 2019 r. OVH uzyskało certyfikat ISO/IEC 27001:2013 dla Systemu Zarządzania Bezpieczeństwem Informacji obejmującego usługę serwerów dedykowanych.

Certyfikacja SZBI dla serwerów dedykowanych OVH

Wdrożenie normy ISO/IEC 27001:2013 to wyraz świadomości zagrożeń i troski firmy OVH o bezpieczeństwo danych klientów. Uzyskany certyfikat finalizuje niezależny audyt i zapewnia klientom usług hostowanych na tych serwerach komfort bezpieczeństwa i gwarantuje poufność danych.

Certyfikat ISO 27001 - OVH

Czym jest norma ISO 27001 i certyfikacja?

ISO/IEC 27001 jest międzynarodową normą, która określa "wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji" (SZBI). Systematyzuje ona wewnętrzne procesy w firmie, które mają na celu zapewnienie poufności, integralności, dostępności i przejrzystości systemu informatycznego.

Bezpieczeństwo na co dzień

Od początku istnienia OVH, bezpieczeństwo jest jednym z priorytetów zespołów, które projektują, obsługują i rozwijają usługi. System Zarządzania Bezpieczeństwem Informacji (SZBI) powstał, aby systematycznie i w sposób łatwy do porównania przedstawić działanie zastosowanych środków bezpieczeństwa.

Zastosowanie SZBI ma na celu ustanowienie, utrzymywanie, monitorowanie i ciągłe udoskonalanie narzędzi i procesów, takich jak:

  • Identyfikacja i ujednolicenie obowiązków i zobowiązań OVH w zakresie bezpieczeństwa informacji.
  • Ustalenie odpowiednich, zrozumiałych i spójnych celów w zakresie bezpieczeństwa informacji.
  • Wdrożenie podejścia opartego o analizę ryzyka w celu zdefiniowania i ustalenia priorytetów w zakresie poprawy bezpieczeństwa.
  • Wdrożenie, zastosowanie i automatyzacja środków bezpieczeństwa.
  • Komunikacja i koordynowanie działań ze wszystkimi wewnętrznymi i zewnętrznymi zainteresowanymi stronami.

Na co dzień SZBI obejmuje zarządzanie działaniami obarczonymi ryzykiem. Do katalogu usług tego typu należą  prawa dostępu, konfiguracje systemów i urządzeń, aktualizacje oprogramowania, aktualizacje infrastruktury, usuwanie danych, rozdzielenie środowisk, monitoring i zarządzanie incydentami. Osiągnięcie bezwzględnego bezpieczeństwa nie jest realne do uzyskania w żadnym systemie informatycznym, ale SZBI pomaga szybciej i bardziej niezawodnie identyfikować elementy wymagające uwagi, błędy i zagrożenia. SZBI umożliwia również szybkie wdrożenie działań naprawczych, które są następnie realizowane w czasie.

Praca zespołowa

Zespół ekspertów ds. bezpieczeństwa współpracuje z pozostałymi zespołami odpowiedzialnymi za projektowanie i działanie usług, obsługę klienta, zespołami ds. sprzedaży oraz Zarządem OVH, aby nadać priorytet wymaganym usprawnieniom. Dzięki podejściu opartym o analizę ryzyka, możliwe jest szybkie reagowanie na pojawiające się zagrożenia i wdrażanie usprawnień na poszczególnych etapach cyklu życia produktu.

Audyt certyfikacyjny

Potwierdzenie zgodności z normą ISO 27001:2013 wymaga przeprowadzenia audytu. W przypadku OVH, audyt prowadzony był przez firmę LNE, akredytowaną przez COFRAC. Audyt jest złożonym procesem, przebiegającym według ściśle określonego formatu i za każdym razem stanowi wyzwanie dla zespołów firmy, ale także dla audytora. Na podstawie wizyt w biurach i centrach danych, wywiadów grupowych, dogłębnych przeglądów dokumentacji i obserwacji systemów w okresie kilku tygodni, audytor musi sformułować swoją opinię na temat stosowności wdrożonych rozwiązań, ich skuteczności i oczywiście ich zgodności ze wszystkimi wymaganiami normy ISO 27001. Zadaniem audytora jest również identyfikacja obszarów wymagających dalszego udoskonalenia.

Zakres Systemu Zarządzania Bezpieczeństwem Informacji obejmuje pełen cykl zarządzania usługą. System SZBI jest zatem ściśle zaprojektowany tak, aby skupiał się na usłudze świadczonej na rzecz klienta.

Bezpieczeństwo jako kod

SZBI obejmuje wszystkie serwery fizyczne zarządzane przez OVH, czyli kilkaset tysięcy maszyn w centrach danych grupy. Skuteczne i zrównoważone zarządzanie bezpieczeństwem w takiej skali oznacza dostosowanie każdej decyzji do standardów i zautomatyzowanego modelu przemysłowego OVH. W rezultacie, system SZBI, jak i bezpieczeństwo, są ulepszane poprzez automatyzację codziennych działań i rozwój narzędzi, które umożliwią zarządzanie usługami w bezpieczny sposób. Interwencja człowieka powinna być ograniczona do incydentalnych przypadków wymagających dogłębnej analizy lub złożonej koordynacji. Model ten pozwala wykładniczo skalować system zarządzania przy jednoczesnym ograniczeniu zasobów potrzebnych do jego funkcjonowania.

Modułowy System Zarządzania Bezpieczeństwem Informacji (SZBI)

Wszystkie produkty OVH w pewnym zakresie korzystają ze SZBI, ponieważ są hostowane na serwerach dedykowanych w centrach danych OVH. Dlatego zdefiniowanie zależności i wewnętrznych zobowiązań jest warunkiem niezbędnym do stworzenia przejrzystego i skutecznie funkcjonującego systemu SZBI. Chcąc oddzielić i ustrukturyzować działania każdego z zaangażowanych w produkt zespołów, zastosowano podejście modułowe. Relacje pomiędzy zespołami opierają się na wewnętrznych umowach o świadczenie usług zdefiniowanych i monitorowanych w systemie SZBI.

Centra danych na przykład posiadają oddzielny SZBI w celu zapewnienia fizycznego bezpieczeństwa obiektów i bezpieczeństwa operacji centrów danych. System stosowany w centrach jest niezależnie certyfikowany i stanowi solidną podstawę do zapewnienia zgodności z normą ISO także usług tam dostarczanych.

Certyfikacja systemu SZBI obejmującego serwery dedykowane opiera się na certyfikacji centrów danych i dotyczy serwerów znajdujących się w tych certyfikowanych centrach danych. Na tę chwilę są to centra danych w Roubaix (RBX 2,3,5,6,7), wszystkie centra danych w Strasburgu, Beauharnois, Singapurze i Sydney. Paryskie centrum danych (P19), w którym znajduje się część systemu informatycznego wspierającego usługi, chociaż fizycznie nie hostuje serwerów dedykowanych przydzielanych klientom, również objęte jest certyfikacją. Pomimo że wszystkie serwery firmy są objęte systemem SZBI zgodnym z normą ISO, certyfikacja obecnie dotyczy tylko tych centrów danych.

Kolejne kroki

ISO 27001 jest ogólnym standardem, który odnosi się do problemów większości naszych klientów i ustanawia ramy organizacyjne niezbędne dla zapewnienia bezpieczeństwa usług. Jednakże, nie uwzględnia ona wymagań z zakresu bezpieczeństwa informacji związanych z konkretnym sektorem biznesowym. Norma ISO 27001 przewiduje możliwość dodawania dodatkowych wymagań, a system SZBI dla serwerów dedykowanych również to umożliwia. System SZBI będzie zatem stopniowo rozbudowywany o kolejne specyficzne środki bezpieczeństwa odpowiadające na potrzeby organizacji przechowujących dane medyczne, sektora bankowego lub specyficzne regulacje dotyczące sektora publicznego w krajach, w których OVH świadczy usługi.

Równolegle zespoły OVH pracują nad rozszerzeniem zakresu certyfikacji na pozostałe centra danych grupy, a w szczególności centra danych w Erith (UK), Limburgu  (DE), Ożarowie (PL) i Gravelines (FR). Celem OVH jest zapewnienie wszystkim klientom takiego samego poziomu bezpieczeństwa niezależnie od lokalizacji centrum danych.

Wreszcie, zespoły techniczne? będą kontynuować współpracę z zespołami produktowymi, aby rozbudować katalog certyfikowanych produktów i stopniowo rozszerzać go o wszystkie oferty OVH w modelu Infrastructure-as-a-Service.

Autor: Julien Levrard