Видео: The Security Playbook for Startups | Webinar (Ноябрь 2024)
Первое правило в этой облачной книжке безопасности для малого и среднего бизнеса (SMB) заключается в том, что мы в выигрыше. Не обойтись, или сэкономить достаточно мелких денег, чтобы купить кофе, или следовать за толпой. Речь идет о выводе компании на новый уровень, одновременно экономя деньги и повышая безопасность. Если вы не ожидаете всех этих преимуществ от перехода в облако, значит, вы не в той игре.
Переход в облако является стратегическим и выгодным. Не относитесь к перемещению в облако как к запоздалой мысли. Положите на него хороших, опытных работников, а не интерна.
Независимо от того, является ли ваше основное направление деятельности автомобильными деталями, планированием мероприятий или даже компьютерным программным обеспечением, цель этого учебника состоит в том, чтобы помочь вам сосредоточиться на своем центральном видении. В значительной степени компьютерные операции являются лишь отвлечением. Предоставление ИТ в настоящее время является достаточно обычной процедурой, поэтому лучше доверить это стороннему поставщику, а не пытаться делать все своими сотрудниками. При правильном выборе облаков ваша организация сэкономит капитальные затраты, получит операционную безопасность и будет более гибкой и отзывчивой.
Возможность познать себя
Компании вправе беспокоиться об облачной безопасности. Прямые и косвенные затраты на недавние утечки данных в таких компаниях, как Anthem, Ashley Madison, CVS, Experian, Scottrade, Target и Trump Hotel Collection, просто ошеломляют. Сбои не были специально вызваны облачными уязвимостями; это были сбои в фундаментальной политике и исполнении внутри компаний.
«Облако» охватывает огромный спектр предложений. Для одной компании, возможно, стоит изменить игру, приняв простой онлайн-сервис для замены рабочих карт работников сетевым инструментом. Другая компания может решить, что ей нужен не что иное, как целый центр обработки данных как услуга (DCaaS), доступ к которому осуществляется через настольные компьютеры как услуга (DaaS) и усиленный аварийным восстановлением как услуга (DRaaS), со всем перемещенным вне помещения. Третья компания может прыгнуть полностью в облако, но частная в физическом месте, соответствующем правовым нормам.
Детали облачной безопасности будут различаться между этими примерами, но многие из основ идентичны:
1. Дайте каждому сотруднику свой логин.
2. Создайте стандартную процедуру удаления учетных записей после ухода сотрудников.
3. Предоставьте письменные инструкции администратора для доступа к резервным копиям и облачной поддержки.
4. Создайте деловые отношения между вашей организацией и поставщиком облачной безопасности до возникновения чрезвычайной ситуации.
5. Вы и ваш поставщик должны иметь понятное, ясное соглашение об ожиданиях соглашения об уровне обслуживания (SLA), включая частоту отказов и план действий в случае сбоя.
Точно так же, как формальный бизнес-план помогает максимально эффективно использовать всю организацию в целом, стоит иметь четкое описание требований к ИТ, охватывающее рабочие процессы, сильные и слабые стороны. Одним из важных аспектов планирования является проведение собеседований с ключевыми владельцами рабочей нагрузки в вашей организации, чтобы подтвердить точные детали того, как ваш бизнес работает. Убедитесь, что вы переносите истинные рабочие нагрузки, а не те, которые, как вы помните, были в прошлом.
Кроме того, спланируйте явную последовательность для вашей миграции. Ищите низко висящие фрукты; в первую очередь переносите легко переносимые рабочие процессы с низким уровнем риска и высокой отдачей. Учитесь на ранних миграциях и обновляйте свой шаблон миграции по мере перехода к более неопределенным или опасным миграциям (или решите, исходя из вашего опыта, сохранить определенный рабочий процесс вне облака).
В первый раз, когда вы пишете требования, вы не будете совершенны в этом. Можно начать план, подумать, что вы все это захватили, начать зависеть от облачных сервисов, а затем заключить, что вещи просто неудобны. Большая ценность вашего первого контракта может заключаться в изучении того, что эффективно. Там нет ничего постыдного в переключении поставщиков на раннем этапе. Многие заслуживающие внимания утечки данных происходят, когда для организации становится обычным «обходить» хорошо продуманные, но плохо подходящие стандарты. Большинство облачных сервисов явно предоставляют пробный месяц или около того; ожидайте воспользоваться этими «тест-драйвами».
Помните: чем яснее вы понимаете, что действительно важно для вас, тем выше вероятность того, что вы это получите. В резюме вы можете попросить поставщика облачных услуг обо всем: от мобильной безопасности и обмена файлами и резервного копирования на уровне потребителя до бизнес-функций (LOB), включая учет, инвентаризацию и планирование ресурсов предприятия (ERP). Вы лучше знаете, какими должны быть ваши собственные приоритеты. Не просто возьмите то, что вам предлагают; продумайте, что больше всего приносит прибыль вашему бизнесу.
Знай свои данные
Современные предприятия признают, что их данные заслуживают особого внимания. В значительной степени другие части бизнеса могут быть заменены или переданы на аутсорсинг. Но ключевые данные - о клиентах, сотрудниках, процессах и свойствах - формируют уникальную ценность компании.
Следовательно, ваш план миграции должен включать в ясных и конкретных терминах не только то, что вы делаете и как вы будете делать это в облаке, но и то, как вы будете обеспечивать безопасность ключевых частей информации компании. Электронная почта - это обычная нагрузка для перехода в облако. Несмотря на то, что электронная почта часто богата конфиденциальной информацией, она также является зрелой технологией, и облачная система хорошо ее предоставляет. Несколько независимых аналитиков пришли к выводу, что размещение электронной почты в облаке, как правило, безопаснее, чем управление почтовой службой внутри компании. Однако, если у вас есть особые требования к электронной почте (например, юридические ограничения для хранения в определенной юрисдикции), вам необходимо будет скорректировать свой план с учетом этого.
Индивидуальные программы, воплощающие транзакции клиентов или производственные процессы, представляют противоположный профиль. Не существует поставщика облачных услуг для предоставления вашей уникальной услуги. С другой стороны, даже самые необычные, проприетарные и частные программы могут работать на виртуальных машинах (ВМ), арендуемых из облака. Можно хранить хранилище данных в пределах вашей организации, но полагаться на облако для работы с данными. Это превращает капитальные затраты (CAPEX) на серверы закупок в регулируемые операционные расходы (OPEX).
Спросите, что вы хотите
Компьютерные операции в основном рутинны, но бизнес-модели вокруг них еще не полностью обожжены. Некоторые части облака полностью стандартизированы. Например, каждый день тысячи людей получают новые бесплатные учетные записи электронной почты от Google, Microsoft, Yahoo и так далее. Ни один человек не вмешивается.
Более специализированные облачные сервисы, как правило, поддерживаются вспомогательным персоналом. Вы можете и должны задавать вопросы. Если конкретная облачная служба выглядит как раз для вас, за исключением того, что она не предоставляет отчеты в формате, соответствующем вашей учетной системе, сообщите об этом провайдеру. Часто они могут принимать меры, которые не появляются на их общедоступных страницах.
В значительной степени облачный вопрос не таков: «Должны ли мы принять?» Ваши сотрудники уже используют облачные сервисы, независимо от того, понимаете вы это или нет. Более актуальный вопрос об облаке: «Какой поставщик подходит лучше всего?» Если вам необходимо провести аудит операций в соответствии с Законом о мобильности и подотчетности медицинского страхования (HIPAA) или Законом Сарбейнса-Оксли (SOX), скажите об этом. Если чтение журналов попыток несанкционированного проникновения дает вам утешение, попросите их. Большинство поставщиков понимают, что хорошие клиенты формируют долгосрочные отношения, и они будут сотрудничать с разумными запросами. Одним из больших преимуществ использования облачных технологий является то, что на вас могут работать специалисты мирового уровня. Максимально используйте это.
Назначить победителя
Возложите ответственность за успех вашей компании в облаке на квалифицированного специалиста. Идеальный кандидат должен проявить несколько специфических качеств:
1. Высокий статус в компании.
2. В восторге от возможностей, которые предоставляет облако.
3. Чувствительны к проблемам безопасности.
4. Компетентность в управлении проектами и операциях.
5. Амбициозный (в хорошем смысле).
Несмотря на то, что вы вряд ли найдете кандидата, который соответствует всем требованиям, стоит попытаться определить чемпиона с двумя или тремя из этих признаков. Чемпион не обязательно должен быть сертифицированным экспертом по облачной безопасности или даже иметь обязанности ИТ-специалиста. Энтузиазм и трудолюбие являются более важными качествами.
Если организация достаточно мала, чемпионом по облачным вычислениям может стать финансовый отдел или отдел закупок, который привлекает консультантов для проверки планов и результатов аудита. Ищите консультантов, которые могут четко выразить свои достижения с точки зрения бизнеса; это те, которые способны количественно оценить рабочие нагрузки, которые они сократили, и сократить время обработки, а не просто модные технологии, в которых они балуются.
Оставайтесь на связи
Кто-то, преданный вашей компании, должен оставаться на связи с вашим провайдером. Периодически звоните, читайте блоги или пресс-релизы любого провайдера и спрашивайте о новых предложениях. Вероятно, у вас есть сотрудник, который считает необходимым найти специальные предложения по заправке мылом или знает, какой кассир в банке может ускорить признание депозитов. Важнейшая безопасность данных компании заслуживает как минимум такого же внимания к деталям.
Это не должно быть сокрушительным бременем; даже час в неделю может значительно улучшить понимание того, как работает ваш провайдер и что это значит для вас. Провайдеры часто могут предложить обучение новым угрозам безопасности, способам их устранения, способам, которыми ваша компания может лучше использовать облако (иногда с меньшими затратами!), Изменениям, которые вероятны в течение ближайшего года, и многое другое. Максимально используйте то, что должно быть стратегическим партнером.
Доверяй, но проверяй
Вам нужно в определенной степени положиться на своего провайдера, но не оставляйте себя чрезмерно уязвимым. Составьте планы DR, которые предвидят потерю провайдера. Детали зависят от того, что именно вам предоставляет облако. DR может означать что угодно: от извлечения резервного ZIP-накопителя из защищенного хранилища до горячего переключения на полностью оборудованную установку DRaaS. Хорошие поставщики могут помочь вам по крайней мере в части планирования, хотя ваш резервный файл и DR должны быть рассмотрены независимым консультантом.
Должен ли ваш план аварийного восстановления включать обратный элемент? То есть, способ продолжать работать, даже если облако становится совершенно недоступным или интернет разваливается? Этот вопрос слишком далеко проникает в философию, чтобы дать краткий ответ, но что могут сделать компании, так это включить в свой план явное рассмотрение экстремальных явлений и затрат, связанных с различными контрмерами. Ваша компания может иметь недорогой план аварийного восстановления, не полагаясь на Интернет, и решит, что защита того стоит. Большинство организаций разрабатывают относительно примитивные планы аварийного восстановления и определяют приоритеты ежедневных операций. Хотя, по крайней мере, запуск упражнений на DR - это образовательный и полезный опыт.
Держите это Реальным
Когда у вас есть реалистичные ожидания облачной безопасности, вы находитесь в наилучшем положении для достижения успеха. Да, вы можете купить терабайты хранилища в местном магазине Big Box по шокирующе низким ценам. Когда вы платите ежемесячную подписку на облачные сервисы, помните, что вы получаете не просто стоимость диска, а тот, который автоматически резервируется, вентилируется, работает по высокоскоростному соединению с магистралью Интернета, очищается и контролируется на предмет угроз безопасности, Аппаратное обеспечение составляет меньшую часть расходов почти всех облачных предложений.
Даже после того, как вы перейдете в облако, ваши самые большие угрозы компьютерной безопасности останутся внутри вашей компании: кражи и другие преступления сотрудников. Ваш провайдер может и должен помочь вам контролировать операции, но, в конечном счете, культура вашей компании определит большую часть судьбы вашего путешествия через облако. Выполните эти восемь шагов, и ваша облачная миграция будет успешной:
1. Играйте, чтобы выиграть, стремитесь к высоким целям и ожидайте большей безопасности, более низких затрат и большей оперативности.
2. Понять свои собственные требования и изложить их в письменном виде.
3. Понять ваш конкретный профиль безопасности данных.
4. Вести переговоры разумно и спросить, что вам нужно.
5. Назначьте облачного чемпиона, который победит.
6. Оставайтесь на связи.
7. Доверяй, но проверяй, чтобы избежать потери провайдера.
8. Поддерживайте реальность и корректируйте ожидания.