Příručka zabezpečení cloudového cloudu

Prvním pravidlem v této malé a středně velké firmě (SMB) Cloud Security Playbook je to, že jsme v ní, abychom ji získali. Nedostat se, nebo ušetřit dost drobných peněz na nákup kávy nebo na sledování davu. Jde o posílení společnosti na novou úroveň, současnou úsporu peněz a zvýšení bezpečnosti. Pokud neočekáváte všechny výhody plynoucí z vašeho přesunu do cloudu, pak jste ve špatné hře.

Přechod do cloudu je strategický a ziskový. Nepovažujte přestěhování do cloudu za dodatečnou myšlenku. Dejte na to dobré a zkušené pracovníky, ne na částečný úvazek.

Ať už je vaším hlavním předmětem podnikání automobilové díly, plánování událostí nebo dokonce počítačový software, cílem této příručky je pomoci vám soustředit se na svou centrální vizi. Počítačové operace jsou do velké míry jen rozptylováním. Poskytování IT je nyní natolik rutinní, že byste raději věřili externímu prodejci, než nechat své vlastní zaměstnance, aby se pokusili vše udělat. Se správným výběrem cloudu vaše organizace ušetří kapitálové výdaje, získá provozní bezpečnost a bude hbitější a pohotovější.

Příležitost poznat sebe sama

Společnosti mají pravdu, pokud jde o zabezpečení cloudu. Přímé a nepřímé náklady na nedávné narušení dat u společností, jako jsou Anthem, Ashley Madison, CVS, Experian, Scottrade, Target a Trump Hotel Collection, jsou prostě ohromující. Tyto chyby nebyly konkrétně způsobeny zranitelností v cloudu; šlo o zhroucení základních politik a provádění v rámci společností.

„Cloud“ zahrnuje obrovské rozpětí obětí. Pro jednu společnost může být změnou hry zavedení jednoduché online služby, která nahradí časové karty zaměstnanců síťovým nástrojem. Jiná společnost by se mohla rozhodnout, že nepotřebuje nic jiného než celé datové centrum jako služba (DCaaS), přístupná prostřednictvím stolních počítačů jako služba (DaaS) a posílená obnovou po katastrofě jako služba (DRaaS), se vším, co se přestěhovalo mimo areál. Třetí společnost by mohla úplně skočit do cloudu - ale soukromá na fyzickém místě, které je v souladu s právními předpisy.

Podrobnosti o zabezpečení cloudu se budou mezi těmito příklady lišit, ale mnoho základních principů je totožné:

1. Každému zaměstnanci dejte vlastní přihlašovací údaje.

2. Vytvořte standardní postup pro vyřazení účtů při odchodu zaměstnanců.

3. Poskytněte písemné pokyny správce pro přístup k zálohování a podporu cloudu.

4. Než dojde k nouzové situaci, vytvořte obchodní vztahy mezi vaší organizací a dodavatelem zabezpečení cloudu.

5. Vy a váš poskytovatel byste měli mít srozumitelnou a výslovnou dohodu o očekáváních dohody o úrovni služeb (SLA), včetně frekvence výpadků a akčního plánu výpadků.

Stejně jako formální obchodní plán pomáhá vytěžit maximum z vaší organizace jako celku, vyplatí se mít výslovný zápis požadavků na IT pokrývající pracovní toky, silné a slabé stránky. Jedním z důležitých aspektů plánování je pohovor s klíčovými vlastníky pracovní zátěže ve vaší organizaci a potvrzení přesných podrobností o tom, jak vaše firma podniká. Ujistěte se, že migrujete skutečné pracovní vytížení, nikoli to, co si pamatujete, že by mohlo být v minulosti.

Naplánujte také explicitní posloupnost migrace. Hledejte nízko zavěšené ovoce; migrujte snadno přenosný, nízkorizikový a vysoce návratný pracovní tok. Učte se od časných migrací a aktualizujte svůj migrační vzorec při přechodu k nejistějším nebo nebezpečnějším migracím (nebo se na základě svých zkušeností rozhodněte, že určitý pracovní tok zůstane mimo cloud).

Když poprvé zapíšete požadavky, nebudete v tom dokonalí. Je v pořádku začít plánovat, myslet si, že jste to všechno zachytili, začít záviset na cloudových službách a pak uzavírat věci, které prostě nejsou pohodlné. Velkou hodnotou vaší první smlouvy může být učení toho, co je efektivní. V záměně poskytovatelů není žádná škoda. K mnoha porušováním datových titulků dochází, když se stává rutinou, že organizace „obchází“ dobře určené, ale špatně vyhovující standardy. Většina cloudových služeb výslovně stanoví zkušební měsíc; očekávat, že využijete tyto "zkušební jízdy".

Pamatujte: Čím jasněji pochopíte, na čem vám skutečně záleží, tím je pravděpodobnější, že ji přijmete. V abstraktu můžete poskytovatele cloudu požádat o vše od mobilního zabezpečení a sdílení a zálohování souborů na úrovni spotřebitele až po funkce podnikové sítě (LOB), včetně účetnictví, inventarizace a plánování podnikových zdrojů (ERP). Nejlepší víte, jaké by měly být vaše vlastní priority. Nepoužívejte jen to, co vám nabízí; přemýšlejte, co nejvíce přinese vašemu podnikání.

Poznejte svá data

Moderní podniky uznávají, že jejich data si zaslouží zvláštní pozornost. Do značné míry mohou být jiné části podniku nahrazeny nebo zadány externě. Klíčová data - o zákaznících, zaměstnancích, procesech a vlastnostech - však představují jedinečnou hodnotu společnosti.

Váš migrační plán by proto měl jasně a konkrétně zahrnovat nejen to, co děláte a jak to budete dělat v cloudu, ale jak budete udržovat klíčové informace o společnosti v bezpečí. E-mail je běžná zátěž pro přesun do cloudu. I když je e-mail často bohatý na chráněné informace, je to také vyspělá technologie a technologie, kterou cloud poskytuje dobře. Několik nezávislých analytiků dospělo k závěru, že hostování e-mailů v cloudu je obecně bezpečnější než správa e-mailových služeb interně. Pokud však máte zvláštní požadavky na e-mail (například zákonné omezení pro ukládání v konkrétní jurisdikci), budete muset svůj plán upravit tak, aby odpovídal tomuto.

Opačný profil představují programy přizpůsobené zákazníkům, které zahrnují transakce se zákazníky nebo průmyslové procesy. Neexistuje žádný dodavatel cloudu, který by poskytoval vaši jedinečnou službu. Na druhé straně i ty neobvyklé, proprietární a soukromé programy mohou běžet na virtuálních strojích (VM) pronajatých z cloudu. Je možné udržovat ukládání dat ve vaší organizaci, ale spoléhat se na cloud, který bude s daty pracovat. Tím se kapitálové výdaje (CAPEX) nákupu serverů změní na nastavitelné provozní výdaje (OPEX).

Zeptejte se na to, co chcete

Počítačové operace jsou do značné míry rutinní, ale obchodní modely kolem nich ještě nejsou zcela upečeny. Některé části cloudu jsou důkladně standardizovány. Například každý den dostávají tisíce lidí nové, bezplatné e-mailové účty od společností Google, Microsoft, Yahoo atd. Žádný člověk nezasahuje.

Avšak specializovanější cloudové služby jsou obvykle podporovány podpůrným personálem. Můžete a měli byste se ptát. Pokud konkrétní cloudová služba vypadá přesně pro vás, s výjimkou případů, kdy účetnímu systému neposkytuje zprávy v odpovídajícím formátu, přiveďte ji s poskytovatelem. Často mohou provádět opatření, která se neobjeví na jejich veřejných stránkách.

Otázka cloudu z velké části není: „Měli bychom přijmout?“ Vaši zaměstnanci již používají cloudové služby, ať už si to uvědomujete nebo ne. Vhodnější cloudová otázka zní: „Který prodejce nejlépe vyhovuje?“ Pokud potřebujete provést audit operací v souladu se zákonem o přenositelnosti a odpovědnosti za zdravotní pojištění (HIPAA) nebo zákonem Sarbanes-Oxley (SOX), řekněte to. Pokud vám čtení protokolů o narušených pokusech o narušení přináší pohodlí, požádejte o ně. Většina poskytovatelů chápe, že dobří zákazníci vytvářejí dlouhodobé vztahy a budou spolupracovat s přiměřenými požadavky. Jednou z velkých výhod důvěry v cloud je to, že pro vás mohou pracovat světoví odborníci. Využijte toho co nejlépe.

Přiřaďte vítěze

Přiřaďte odpovědnost za úspěch vaší společnosti v cloudu někomu kvalifikovanému. Ideální kandidát by měl vykazovat několik specifických vlastností:

1. Vysoký status ve společnosti.

2. Nadšený z příležitostí, které cloud nabízí.

3. Citlivé na obavy týkající se bezpečnosti.

4. Kompetentní v řízení a provozu projektů.

5. Ambiciózní (dobrým způsobem).

I když pravděpodobně nenajdete kandidáta, který splňuje každou kvalifikaci, stojí za to identifikovat vítěze s alespoň dvěma nebo třemi z těchto atributů. Mistr nemusí být certifikovaným odborníkem na cloudovou bezpečnost ani mít na IT odpovědnost za plný úvazek. Nadšení a pečlivost jsou důležitější vlastnosti.

Pokud je organizace dostatečně malá, může cloud cloud champion pocházet z finančního nebo nákupního oddělení, někoho, kdo přinese konzultanty, aby zkontrolovali plány a výsledky auditu. Hledejte konzultanty, kteří mohou jasně vyjádřit své úspěchy z obchodního hlediska; to jsou ty, které jsou schopny kvantifikovat pracovní zátěž, kterou uvolnily, a zpracovat časy, které srazily, a to nejen módní technologie, ve kterých dabbledovaly.

Zůstat v kontaktu

Někdo oddaný vaší společnosti by měl zůstat v kontaktu s vaším poskytovatelem. Pravidelně volejte, přečtěte si všechny blogy poskytovatele nebo tiskové zprávy a zeptejte se na nové nabídky. Pravděpodobně máte zaměstnance, který má v úmyslu najít speciality na doplňovací mýdlo, nebo ví, který pokladník v bance může urychlit rozpoznávání vkladů. Zabezpečení dat společnosti Vital si zaslouží alespoň tolik pozornosti k detailům.

Nemusí to být drcení břemene; i pouhá hodina v týdnu může výrazně zlepšit náhled na to, jak váš poskytovatel funguje a co to pro vás znamená. Poskytovatelé často mohou navrhnout školení o nových bezpečnostních hrozbách, o tom, jak je zmírnit, o způsobech, jak může vaše společnost cloud lépe využívat (někdy za nižší cenu!), O změnách, které budou pravděpodobně v příštím roce, a dalších. Využijte co nejlépe by měl být strategický partner.

Důvěřuj ale prověřuj

Musíte se spolehnout na svého poskytovatele do určité míry, ale nenechte se příliš zranitelní. Vytvořte plány DR, které předvídají ztrátu poskytovatele. Podrobnosti závisí na tom, co přesně vám cloud poskytuje. DR může znamenat cokoli od vytažení záložní ZIP jednotky ze lockboxu po horký přechod na plně vybavenou instalaci DRaaS. Dobří poskytovatelé vám mohou pomoci alespoň s částí plánování, i když záloha a DR by měl být zkontrolován nezávislým konzultantem.

Měl by váš plán DR obsahovat reverzní prvek? Znamená to, jak pokračovat, i když se oblak stane naprosto nedostupným nebo se internet rozpadne? Tato otázka se potuluje příliš daleko do filosofie na krátkou odpověď, ale to, co mohou společnosti udělat, je zahrnout do svého plánu výslovné zvážení extrémních událostí a nákladů spojených s různými protiopatřeními. Vaše společnost může mít levný plán DR, aniž by se spoléhala na internet a rozhodla se, že ochrana stojí za to. Většina organizací zpracovává relativně primitivní plány DR a upřednostňuje denní operace. Alespoň začátek cvičení DR je však vzdělávací a obohacující zážitek.

Nechte to skutečné

Pokud máte realistická očekávání zabezpečení cloudu, jste v nejlepší pozici pro úspěch. Ano, můžete si koupit terabajty úložiště v místním velkoobchodu za šokující nízké ceny. Když platíte měsíční předplatné cloudových služeb, nezapomeňte, že dostáváte nejen hodnotu disku, ale také ten, který je automaticky zálohován, větraný, běžící na vysokorychlostním připojení k páteřní síti internetu a drhnutý a sledovaný kvůli bezpečnostním rizikům. Hardware tvoří menší část nákladů téměř všech cloudových nabídek.

I po přechodu do cloudu zůstanou vaše největší počítačové bezpečnostní hrozby pro vaši společnost interní: krádeže a jiné trestné činy zaměstnanců. Váš poskytovatel vám může a měl by vám pomoci monitorovat provoz, ale nakonec vaše vlastní firemní kultura určí většinu osudu vaší cesty oblakem. Proveďte těchto osm kroků a vaše migrace v cloudu bude úspěšná:

1. Hrajte a vyhrajte, zaměřte se vysoko a očekávejte lepší zabezpečení, nižší náklady a větší citlivost.

2. Porozumět svým vlastním požadavkům a dát je písemně.

3. Pochopte svůj konkrétní profil zabezpečení dat.

4. Moudře jednat a požádat o to, co potřebujete.

5. Přiřaďte mistra cloudu, který vyhraje.

6. Zůstaňte v kontaktu.

7. Důvěřujte ale ověřte, abyste zajistili proti ztrátě poskytovatele.

8. Zachovejte to skutečné a upravte očekávání.