Video: The SMB Security Dilemma (Marraskuu 2024)
Ensimmäinen sääntö tässä pienessä, keskisuuressa (SMB) Cloud Security Playbook -yrityksessä on, että voimme voittaa sen. Ei pääseminen tai säästää tarpeeksi pieniä rahaa ostaaksesi kahvia tai seuraamaan yleisöä. Kyse on yrityksen nostamisesta uudelle tasolle, samalla säästää rahaa ja parantaa turvallisuutta. Jos et odota kaikkia näitä hyötyjä siirryttäessäsi pilveen, olet väärässä pelissä.
Muutos pilveen on strateginen ja kannattava. Älä kohtele pilveen siirtymistä jälkikäteen. Laita siihen hyviä, kokeneita työntekijöitä, ei osa-aikaista harjoittelijaa.
Olipa pääasiallinen liiketoimintalinjasi auton osia, tapahtumasuunnittelua tai jopa tietokoneohjelmistoja, tämän pelikirjan tavoitteena on auttaa keskittymään keskeiseen visioosi. Tietokoneoperaatiot ovat suurelta osin vain häiriötekijöitä. Tietotekniikan tarjoaminen on nyt tarpeeksi rutiinia, että sinun on parempi luottaa siihen ulkopuoliselle toimittajalle sen sijaan, että omat työntekijäsi yrittäisivät tehdä kaiken. Oikein pilvivalinnoin organisaatiosi säästää investointikustannuksia, saavuttaa toiminnan turvallisuuden ja on ketterämpi ja reagoivampi.
Mahdollisuus tuntea itsesi
Yritykset ovat oikeassa huolissaan pilviturvallisuudesta. Viimeaikaisten tietorikkomusten suorat ja välilliset kustannukset yrityksissä, kuten Anthem, Ashley Madison, CVS, Experian, Scottrade, Target ja Trump Hotel Collection, ovat yksinkertaisesti uskomaton. Epäonnistumiset eivät nimenomaan johtuneet pilviheikkouksista; ne olivat keskeisiä periaatteita ja toteutusta yrityksissä.
"Pilvi" kattaa valtavan valikoiman tarjouksia. Yhdelle yritykselle voi olla pelivaihtoehto yksinkertaisen verkkopalvelun käyttöönotto työntekijöiden aikakorttien korvaamiseksi verkottuneella työkalulla. Toinen yritys saattaa päättää, että se tarvitsee vain kokonaisen datakeskuksen palveluna (DCaaS), jota voidaan käyttää palveluna työasemina palveluna (DaaS) ja jota vahvistetaan katastrofien palautuksen palveluna palveluna (DRaaS), kaiken siirretty pois tiloista. Kolmas yritys saattaa hypätä kokonaan pilveen, mutta yksityinen fyysisessä paikassa, joka noudattaa lakimääräyksiä.
Pilviturvallisuustiedot eroavat näiden esimerkkien välillä, mutta monet perusteista ovat identtisiä:
1. Anna jokaiselle työntekijälle oma kirjautumistunnuksensa.
2. Luo vakiomenettely tilien poistamiseksi työntekijöiden poistuessa.
3. Anna kirjalliset järjestelmänvalvojan ohjeet varmuuskopiointia ja pilvitukea varten.
4. Luo liikesuhteet organisaatiosi ja pilvipalveluntarjoajan välille ennen hätätilannetta.
5. Sinulla ja palveluntarjoajallasi on oltava ymmärrettävä, selkeä sopimus palvelutasosopimuksen (SLA) odotuksista, mukaan lukien katkosten taajuus ja katkosten toimintasuunnitelma.
Aivan kuten muodollinen liiketoimintasuunnitelma auttaa hyödyntämään organisaatiota kokonaisuudessaan, kannattaa olla nimenomainen IT-vaatimusten kirjoitus, joka kattaa työnkulut, vahvuudet ja heikkoudet. Yksi tärkeä suunnitteluosa on haastatella organisaation tärkeimpiä kuormituksen omistajia hahmottamaan tarkat yksityiskohdat siitä, kuinka yrityksesi tekee liiketoimintaansa. Varmista, että siirrät todelliset työmäärät, etkä muista, että ne olisivat olleet aiemmin.
Suunnittele myös selkeä siirtymisvaihe. Etsi matalalta roikkuvia hedelmiä; siirrä ensin helposti kuljetettavat, vähäriskiset ja korkeatuottoiset työnkulut. Opi varhaisilta muutoksilta ja päivitä muutoskuviosi siirtyessäsi epävarmempiin tai vaarallisempiin muuttoihin (tai päätät kokemuksen perusteella pitää tietyn työnkulun poissa pilvestä).
Kun kirjoitat vaatimuksia ensimmäisen kerran, et ole täydellinen siinä. On hyvä aloittaa suunnitelma, ajattele, että olet saanut kaiken kaappaamaan, alkaa riippua pilvipalveluista ja päättää sitten, että asiat eivät vain ole mukavia. Ensimmäisen sopimuksen suuri arvo saattaa olla tehokkaan oppiminen. Ei ole häpeä vaihtaa palveluntarjoajia varhaisessa vaiheessa. Monia otsikkoarvoisia tietosuojavirheitä esiintyy, kun organisaatiolle tulee rutiininomaista "kiertää" hyvin suunniteltuja, mutta huonosti sopivia standardeja. Useimmissa pilvipalveluissa on nimenomaisesti säädetty noin kuukauden kokeilujaksolle; odottavat hyödyntävänsä näitä "koeajoja".
Muista: Mitä selvemmin ymmärrät, mikä sinulle todella tärkeä, sitä todennäköisemmin saat sen. Abstraktisti voit kysyä pilvipalveluntarjoajalta kaikkea mobiiliturvallisuudesta ja kuluttajaluokan tiedostojen jakamisesta ja varmuuskopioinnista liiketoiminnan linjan (LOB) toimintoihin, mukaan lukien kirjanpito, inventaario ja yritysresurssien suunnittelu (ERP). Tiedät parhaiten, mitkä sinun prioriteettien tulisi olla. Älä ota vain sitä, mitä sinulle tarjotaan; miettiä, mikä tuottaa eniten yritystäsi.
Tunne tietosi
Nykyaikaiset yritykset tunnistavat tietonsa ansaitsevan erityistä huomiota. Suuri osa liiketoiminnan muista osista voidaan korvata tai ulkoistaa. Mutta avaintiedot - asiakkaista, työntekijöistä, prosesseista ja kiinteistöistä - muodostavat yrityksen ainutlaatuisen arvon.
Siksi siirtosuunnitelmasi tulisi sisältää selkeästi ja tarkkaan sanoen, ei vain se, mitä teet ja miten teet sen pilvessä, vaan myös kuinka pidät tärkeimmät yritystiedot turvassa. Sähköposti on yleinen kuorma siirtyäksesi pilveen. Vaikka sähköpostiviestissä on usein runsaasti yksityistä tietoa, se on myös kypsä tekniikka ja yksi pilvi toimittaa hyvin. Useat riippumattomat analyytikot ovat todenneet, että sähköpostien isännöinti pilvessä on yleensä turvallisempaa kuin sähköpostipalveluiden hallitseminen talossa. Jos sinulla on erityisiä sähköpostivaatimuksia (kuten lakisääteinen rajoitus varastoinnille tietyllä lainkäyttöalueella), sinun on kuitenkin mukautettava suunnitelmasi tämän huomioon ottamiseksi.
Asiakaskauppoja tai teollisia prosesseja ilmentävät räätälöidyt ohjelmat esittävät päinvastaista profiilia. Yhtään pilvimyyjää ei ole tarjota ainutlaatuista palveluasi. Toisaalta jopa epätavallisimmat, omistamat ja yksityiset ohjelmistot voivat toimia pilveltä vuokrattujen virtuaalikoneiden (VM) avulla. Tietojen tallennus on mahdollista pitää organisaatiossasi, mutta luottaa pilveen tietojen käyttämiseksi. Tämä muuttaa palvelimien ostamisen investoinnit (CAPEX) säädettäviksi käyttömenoiksi (OPEX).
Kysy mitä haluat
Tietokonetoiminta on pääosin rutiinia, mutta sitä ympäröivät liiketoimintamallit eivät ole vielä täysin valmiita. Jotkut pilven osat on standardisoitu perusteellisesti. Esimerkiksi päivittäin tuhannet ihmiset saavat uusia, ilmaisia sähköpostitilejä Googlelta, Microsoftilta, Yahoolta ja niin edelleen. Kukaan ihminen ei puutu asiaan.
Erityisempää pilvipalvelua tukee kuitenkin tyypillisesti tukihenkilöstö. Voit ja sinun pitäisi kysyä kysymyksiä. Jos tietty pilvipalvelu näyttää juuri sinulle, paitsi jos se ei tarjoa kirjanpitojärjestelmääsi vastaavassa muodossa olevia raportteja, tuo se palveluntarjoajan kanssa. Usein he voivat tehdä järjestelyjä, jotka eivät näy heidän julkisilla sivuillaan.
Pilvikysymys ei suurelta osin ole "Pitäisikö meidän adoptoida?" Työntekijäsi käyttävät jo pilvipalveluita riippumatta siitä, ymmärrätkö sen. Asiaankuuluvampi pilvikysymys on: "Mikä myyjä sopii parhaiten?" Jos joudut tarkastamaan toimenpiteet sairausvakuutusten siirrettävyyttä ja vastuullisuutta koskevan lain (HIPAA) tai Sarbanes-Oxley-lain (SOX) noudattamiseksi, sano niin. Jos luettujen loukkausyritysten lukeminen antaa sinulle mukavuutta, pyydä niitä. Useimmat palveluntarjoajat ymmärtävät, että hyvät asiakkaat muodostavat pitkäaikaisia suhteita ja tekevät yhteistyötä kohtuullisten pyyntöjen kanssa. Yksi pilvipalvelun eduista on, että sinulla voi olla maailmanluokan asiantuntijoita työskentelemässä puolestasi. Hyödynnä kaikki tämä.
Määritä voittava mestari
Anna vastuu yrityksesi menestyksestä pilvessä pätevälle henkilölle. Ihanteellisella ehdokkaalla tulisi olla muutamia erityisiä ominaisuuksia:
1. Korkea asema yrityksessä.
2. Innostunut pilven tarjoamista mahdollisuuksista.
3. Herkkä turvallisuusongelmille.
4. Pätevä projektijohtamisessa ja toiminnassa.
5. Kunnianhimoinen (hyvällä tavalla).
Vaikka et todennäköisesti löydä ehdokasta, joka täyttää jokaisen pätevyyden, kannattaa yrittää tunnistaa mestari vähintään kahdella tai kolmella näistä ominaisuuksista. Mestarin ei tarvitse olla sertifioitua pilviturvallisuuden asiantuntijaa tai edes olla kokopäiväisiä IT-vastuita. Innostus ja ahkeruus ovat tärkeämpiä ominaisuuksia.
Jos organisaatio on tarpeeksi pieni, pilvimestari voi tulla rahoitus- tai osto-osastolta, joku kutsuu konsultteja tarkistamaan suunnitelmia ja tarkastustuloksia. Etsi konsultteja, jotka pystyvät selkeästi ilmaisemaan saavutuksensa liiketoiminnan kannalta; nämä pystyvät mittaamaan vähentämänsä työmäärät ja käsittelemään vähentämiä aikojaan, eivät vain muodikkaita tekniikoita, joissa he ovat sekoittuneet.
Pysyä yhteydessä
Yritykseesi omistautuneen henkilön tulisi olla yhteydessä palveluntarjoajaasi. Soita määräajoin, lue palveluntarjoajien blogeja tai lehdistötiedotteita ja kysy uusia tarjouksia. Sinulla on todennäköisesti työntekijä, joka etsii erikoistarjouksia täyttö saippualle tai tietää, mikä pankkitili voi nopeuttaa talletuksien tunnistamista. Elintärkeä yrityksen tietoturva ansaitsee ainakin yhtä paljon huomiota yksityiskohtiin.
Sen ei tarvitse olla murskaava taakka; jopa vain tunti viikossa voi parantaa dramaattisesti tietoa palveluntarjoajasi toiminnasta ja siitä, mitä se tarkoittaa sinulle. Palveluntarjoajat voivat usein ehdottaa koulutusta uusista tietoturvauhista, niiden lieventämisestä, tapoista, joilla yrityksesi voi paremmin käyttää pilviä (joskus alhaisemmilla kustannuksilla!), Tulevan vuoden aikana todennäköisesti tapahtuvista muutoksista ja muusta. Hyödynnä sitä, minkä pitäisi olla strateginen kumppani.
Luota mutta varmista
Sinun on luotettava palveluntarjoajaasi tietyssä määrin, mutta älä jätä itseäsi liian haavoittuvaiseksi. Suorita DR-suunnitelmat, jotka ennakoivat palveluntarjoajan menetyksiä. Yksityiskohdat riippuvat siitä, mitä pilvi tarjoaa sinulle. DR saattaa tarkoittaa mitä tahansa varmuuskopioidun ZIP-aseman vetämistä lukituslaatikosta kuumaan vaihtoon täysin varustettuun DRaaS-asennukseen. Hyvät palveluntarjoajat voivat auttaa sinua ainakin osassa suunnittelua, vaikka varmuuskopio ja DR tulisi tarkistaa riippumattoman konsultin toimesta.
Pitäisikö DR-suunnitelmasi sisällyttää käänteinen elementti? Tarkoittaa, tapa jatkaa menemistä, vaikka pilvi ei olisi kokonaan käytettävissä tai Internet hajoaa? Tämä kysymys juontaa liian pitkälle filosofiaan lyhyen vastauksen saamiseksi, mutta mitä yritykset voivat tehdä, sisältyy äärimmäisten tapahtumien ja erilaisiin vastatoimenpiteisiin liittyvien kustannusten selkeä huomiointi suunnitelmaansa. Yritykselläsi saattaa olla edullinen DR-suunnitelma luottamatta Internetiin ja päättää, että suojaus on kannattavaa. Useimmat organisaatiot laativat suhteellisen alkeellisia DR-suunnitelmia ja priorisoivat päivittäistä toimintaa. Ainakin DR-harjoitusten aloittaminen on opettava ja palkitseva kokemus.
Pysy totuudessa
Kun sinulla on realistiset pilviturvallisuusodotukset, olet parhaassa asemassa menestykseen. Kyllä, voit ostaa teratavua tallennustilaa paikallisesta big-box-myymälästä järkyttävän alhaisilla hinnoilla. Kun maksat kuukausittaisen tilauksen pilvipalveluista, muista, että et saa vain levyn arvoa, vaan sellaisen, joka varmuuskopioidaan, tuuletetaan automaattisesti, toimii nopealla yhteydellä Internet-runkoon ja jota on puhdistettu ja jota valvotaan turvallisuusriskien varalta.. Laitteisto muodostaa vähemmistön melkein kaikkien pilvipalvelujen kustannuksista.
Vaikka muutatkin pilveen, suurimmat tietoturvauhat pysyvät yrityksesi sisäisinä: varkaudet ja muut työntekijärikokset. Palveluntarjoajasi voi ja sen pitäisi auttaa sinua tarkkailemaan toimintoja, mutta viime kädessä oma yrityskulttuurisi määrittää suuren osan pilven läpi matkustasi kohtalosta. Suorita nämä kahdeksan vaihetta ja pilvisi siirtyminen onnistuu:
1. Pelaa voittaaksesi, tavoittele korkeaa ja odota parempaa turvallisuutta, alhaisempia kustannuksia ja enemmän reagointia.
2. Ymmärrä omat vaatimuksesi ja laita ne kirjallisesti.
3. Ymmärrä tietosi tietoturvaprofiilisi.
4. Neuvottele viisaasti ja kysy mitä tarvitset.
5. Määritä pilvimestari, joka voittaa.
6. Pidä yhteyttä.
7. Luotta, mutta varmista varmistaaksesi, ettei palveluntarjoaja menetä.
8. Pidä se todellisena ja säädä odotuksiasi.