Trang Chủ Nhận xét Playbook bảo mật đám mây smb

Playbook bảo mật đám mây smb

Video: Verbal lesson Platinum V (Tháng mười một 2024)

Video: Verbal lesson Platinum V (Tháng mười một 2024)
Anonim

Quy tắc đầu tiên trong Playbook Cloud Security dành cho doanh nghiệp vừa và nhỏ (SMB) này là chúng tôi tham gia để giành chiến thắng. Không phải để có được, hoặc để tiết kiệm đủ tiền mặt để mua cà phê, hoặc để theo đám đông. Đó là về việc thúc đẩy công ty lên một tầm cao mới, đồng thời tiết kiệm tiền và tăng cường bảo mật. Nếu bạn không mong đợi tất cả những lợi ích đó từ việc bạn chuyển sang đám mây, thì bạn đã chơi sai.

Di chuyển lên đám mây là chiến lược và có lợi nhuận. Đừng coi việc di chuyển lên đám mây như một suy nghĩ lại. Đặt những người lao động giỏi, có kinh nghiệm vào đó, không phải là nhân viên thực tập bán thời gian.

Cho dù ngành nghề kinh doanh chính của bạn là phụ tùng ô tô, lập kế hoạch sự kiện hay thậm chí là phần mềm máy tính, mục tiêu của cuốn sách này là giúp bạn tập trung vào tầm nhìn trung tâm. Ở một mức độ lớn, hoạt động của máy tính chỉ là một sự xao lãng. Việc cung cấp CNTT bây giờ đủ thường xuyên để bạn tin tưởng nó hơn với nhà cung cấp bên ngoài thay vì nhân viên của bạn cố gắng làm tất cả. Với các lựa chọn đám mây phù hợp, tổ chức của bạn sẽ tiết kiệm chi phí vốn, có được bảo mật hoạt động và nhanh nhẹn và phản ứng nhanh hơn.

Cơ hội để biết về bản thân

Các công ty có quyền được quan tâm về bảo mật đám mây. Chi phí trực tiếp và gián tiếp của các vi phạm dữ liệu gần đây tại các công ty như Anthem, Ashley Madison, CVS, Experian, Scottrade, Target và Trump Hotel Collection chỉ đơn giản là đáng kinh ngạc. Những thất bại không đặc biệt xuất phát từ các lỗ hổng trên đám mây; họ đã thất bại trong các chính sách cơ bản và thực thi trong các công ty.

"Đám mây" bao trùm một loạt các dịch vụ. Đối với một công ty, nó có thể là một người thay đổi trò chơi để áp dụng một dịch vụ trực tuyến đơn giản để thay thế bảng thời gian của công nhân bằng một công cụ được nối mạng. Một công ty khác có thể quyết định rằng họ không cần gì ngoài toàn bộ trung tâm dữ liệu (DCaaS), được truy cập thông qua máy tính để bàn (DaaS) và được củng cố bởi dịch vụ khắc phục thảm họa (như dịch vụ ( DRaaS), với mọi thứ được chuyển ra khỏi cơ sở. Một công ty thứ ba có thể nhảy hoàn toàn vào đám mây nhưng một công ty tư nhân ở một địa điểm thực tế tuân thủ các quy định pháp luật.

Chi tiết bảo mật đám mây sẽ khác nhau giữa các ví dụ này nhưng nhiều nguyên tắc cơ bản giống hệt nhau:

1. Cung cấp cho mỗi nhân viên đăng nhập của riêng mình.

2. Tạo một quy trình chuẩn cho việc nghỉ hưu khi nhân viên nghỉ việc.

3. Cung cấp hướng dẫn quản trị bằng văn bản để truy cập sao lưu và hỗ trợ đám mây.

4. Tạo mối quan hệ kinh doanh giữa tổ chức của bạn và nhà cung cấp bảo mật đám mây trước khi xảy ra trường hợp khẩn cấp.

5. Bạn và nhà cung cấp của bạn nên có một thỏa thuận rõ ràng, dễ hiểu về các kỳ vọng thỏa thuận cấp độ dịch vụ (SLA), bao gồm tần suất ngừng hoạt động và kế hoạch hành động ngừng hoạt động.

Giống như một kế hoạch kinh doanh chính thức giúp tận dụng tối đa toàn bộ tổ chức của bạn, nó trả tiền để có một bản ghi yêu cầu CNTT rõ ràng bao gồm các quy trình công việc, điểm mạnh và điểm yếu. Một khía cạnh lập kế hoạch quan trọng là phỏng vấn các chủ sở hữu khối lượng công việc chính trong tổ chức của bạn để xác nhận chi tiết chính xác về cách thức kinh doanh của bạn. Hãy chắc chắn rằng bạn di chuyển khối lượng công việc thực sự, chứ không phải những gì bạn nhớ chúng có thể có trong quá khứ.

Ngoài ra, lập kế hoạch trình tự rõ ràng cho việc di chuyển của bạn. Tìm kiếm trái cây treo thấp; di chuyển dễ dàng vận chuyển, rủi ro thấp và quy trình công việc lợi nhuận cao đầu tiên. Tìm hiểu từ việc di chuyển sớm và cập nhật mô hình di chuyển của bạn khi bạn chuyển sang di chuyển không chắc chắn hoặc nguy hiểm hơn (hoặc quyết định, trên cơ sở kinh nghiệm của bạn, để tránh một luồng công việc cụ thể ra khỏi đám mây).

Lần đầu tiên bạn viết lên các yêu cầu, bạn sẽ không hoàn hảo với nó. Bạn có thể bắt đầu một kế hoạch, nghĩ rằng bạn đã nắm bắt được tất cả, bắt đầu phụ thuộc vào các dịch vụ đám mây và sau đó kết luận mọi thứ không thoải mái. Giá trị lớn của hợp đồng đầu tiên của bạn có thể là học những gì hiệu quả. Không có sự xấu hổ trong việc chuyển đổi nhà cung cấp sớm. Nhiều vi phạm dữ liệu xứng đáng với tiêu đề xảy ra khi nó trở thành thói quen để một tổ chức "làm việc xung quanh" các tiêu chuẩn có chủ đích tốt nhưng không phù hợp. Hầu hết các dịch vụ đám mây cung cấp rõ ràng cho một tháng dùng thử; hy vọng sẽ tận dụng những "ổ đĩa thử nghiệm" này.

Hãy nhớ rằng: bạn càng hiểu rõ những gì thực sự quan trọng với bạn, bạn càng có nhiều khả năng nhận được nó. Tóm lại, bạn có thể yêu cầu nhà cung cấp đám mây cung cấp mọi thứ, từ bảo mật và chia sẻ tệp ở cấp độ người tiêu dùng, đến các chức năng của ngành kinh doanh (LOB) bao gồm kế toán, hàng tồn kho và lập kế hoạch tài nguyên doanh nghiệp (ERP). Bạn biết rõ nhất những ưu tiên của riêng bạn là gì. Đừng chỉ lấy những gì bạn cung cấp; nghĩ thông qua những gì hầu hết lợi nhuận kinh doanh của bạn.

Biết dữ liệu của bạn

Các doanh nghiệp hiện đại nhận ra dữ liệu của họ xứng đáng được quan tâm cụ thể. Ở một mức độ lớn, các bộ phận khác của một doanh nghiệp có thể được thay thế hoặc thuê ngoài. Nhưng dữ liệu quan trọng về vấn đề khách hàng, nhân viên, quy trình và tài sản là một giá trị duy nhất của công ty.

Do đó, kế hoạch di chuyển của bạn nên bao gồm, theo các thuật ngữ rõ ràng và cụ thể, không chỉ là những gì bạn làm và cách bạn sẽ thực hiện trong đám mây, mà là cách bạn sẽ giữ các thông tin chính của công ty an toàn. Email là một tải phổ biến để di chuyển lên đám mây. Mặc dù email thường rất giàu thông tin độc quyền, nhưng đây cũng là một công nghệ hoàn thiện và một đám mây cung cấp tốt. Một số nhà phân tích độc lập đã kết luận rằng lưu trữ email trên đám mây thường an toàn hơn so với việc quản lý dịch vụ email trong nhà. Tuy nhiên, nếu bạn có các yêu cầu email đặc biệt (chẳng hạn như hạn chế pháp lý đối với việc lưu trữ trong phạm vi quyền hạn cụ thể), bạn sẽ cần điều chỉnh kế hoạch của mình để giải quyết vấn đề này.

Các chương trình tùy chỉnh thể hiện các giao dịch của khách hàng hoặc các quy trình công nghiệp trình bày hồ sơ ngược lại. Không có nhà cung cấp đám mây tồn tại để cung cấp dịch vụ độc đáo của bạn. Mặt khác, ngay cả phần mềm riêng, độc quyền và riêng tư nhất cũng có thể chạy trên các máy ảo (VM) được thuê từ đám mây. Có thể giữ lưu trữ dữ liệu trong tổ chức của bạn nhưng dựa vào đám mây để vận hành dữ liệu. Điều này biến chi phí vốn (CAPEX) của việc mua máy chủ thành chi phí hoạt động có thể điều chỉnh (OPEX).

Hỏi những gì bạn muốn

Hoạt động máy tính phần lớn là thường xuyên nhưng các mô hình kinh doanh xung quanh chúng vẫn chưa hoàn toàn. Một số phần của đám mây được chuẩn hóa kỹ lưỡng. Mỗi ngày, chẳng hạn, hàng ngàn người nhận được các tài khoản email mới, miễn phí từ Google, Microsoft, Yahoo, v.v. Không có con người can thiệp.

Tuy nhiên, các dịch vụ đám mây chuyên dụng hơn thường được hỗ trợ bởi một nhân viên hỗ trợ. Bạn có thể và nên đặt câu hỏi. Nếu một dịch vụ đám mây cụ thể có vẻ phù hợp với bạn, ngoại trừ việc nó không cung cấp báo cáo theo định dạng phù hợp với hệ thống kế toán của bạn, hãy mang đến cho nhà cung cấp dịch vụ. Thông thường, họ có thể sắp xếp không xuất hiện trên các trang công khai của họ.


Ở một mức độ lớn, câu hỏi trên đám mây không phải là "Chúng ta có nên áp dụng?" Nhân viên của bạn đã sử dụng dịch vụ đám mây cho dù bạn có nhận ra hay không. Câu hỏi đám mây thích hợp hơn là "Nhà cung cấp nào phù hợp nhất?" Nếu bạn cần kiểm toán các hoạt động để tuân thủ Đạo luật Trách nhiệm & Trách nhiệm Giải trình về Bảo hiểm Y tế (HIPAA) hoặc Đạo luật Sarbanes-Oxley (SOX), hãy nói như vậy. Nếu việc đọc nhật ký của các nỗ lực xâm nhập lá cây mang lại cho bạn sự thoải mái, hãy yêu cầu chúng. Hầu hết các nhà cung cấp hiểu rằng khách hàng tốt hình thành mối quan hệ lâu dài và họ sẽ hợp tác với các yêu cầu hợp lý. Một trong những lợi thế lớn của sự phụ thuộc vào đám mây là bạn có thể có các chuyên gia đẳng cấp thế giới làm việc cho bạn. Tận dụng tối đa điều này.


Chỉ định một nhà vô địch chiến thắng

Giao trách nhiệm thành công của công ty bạn trên đám mây cho người đủ điều kiện. Một ứng cử viên lý tưởng nên thể hiện một vài phẩm chất cụ thể:


1. Địa vị cao trong công ty.

2. Nhiệt tình về các cơ hội mà đám mây trình bày.

3. Nhạy cảm với các mối quan tâm an ninh.

4. Có năng lực quản lý dự án và vận hành.

5. Tham vọng (một cách tốt đẹp).

Mặc dù bạn không thể tìm thấy một ứng cử viên đáp ứng mọi tiêu chuẩn, nhưng thật đáng để nỗ lực xác định một nhà vô địch có ít nhất hai hoặc ba thuộc tính này. Một nhà vô địch không cần phải là một chuyên gia bảo mật đám mây được chứng nhận hoặc thậm chí có trách nhiệm CNTT toàn thời gian. Nhiệt tình và siêng năng là những phẩm chất quan trọng hơn.

Nếu một tổ chức đủ nhỏ, nhà vô địch đám mây có thể đến từ bộ phận tài chính hoặc mua hàng, một người nào đó mang đến các chuyên gia tư vấn để xem xét kế hoạch và kết quả kiểm toán. Tìm kiếm các chuyên gia tư vấn có thể thể hiện rõ ràng những thành tựu của họ trong các điều khoản kinh doanh; đây là những công cụ có khả năng định lượng khối lượng công việc mà họ đã giải tỏa và xử lý thời gian họ cắt giảm, không chỉ là các công nghệ thời trang mà họ đã học được.


Giữ liên lạc

Ai đó dành cho công ty của bạn nên giữ liên lạc với nhà cung cấp của bạn. Gọi định kỳ, đọc bất kỳ blog của nhà cung cấp hoặc thông cáo báo chí, và hỏi về các dịch vụ mới. Bạn có thể có một nhân viên tìm kiếm điểm đặc biệt về xà phòng nạp tiền hoặc biết nhân viên thu ngân nào tại ngân hàng có thể tiến hành công nhận tiền gửi. Bảo mật dữ liệu công ty quan trọng xứng đáng ít nhất là nhiều sự chú ý đến chi tiết.

Nó không phải là một gánh nặng đè bẹp; thậm chí chỉ một giờ một tuần có thể cải thiện đáng kể cái nhìn sâu sắc về cách thức nhà cung cấp của bạn hoạt động và ý nghĩa của nó đối với bạn. Các nhà cung cấp thường có thể đề xuất đào tạo về các mối đe dọa bảo mật mới, cách giảm thiểu chúng, cách công ty của bạn có thể sử dụng đám mây tốt hơn (đôi khi với chi phí thấp hơn!), Những thay đổi có thể xảy ra trong năm tới và hơn thế nữa. Tận dụng tối đa những gì nên là một đối tác chiến lược.


Tin tưởng nhưng xác minh

Bạn cần dựa vào nhà cung cấp của mình ở một mức độ nhất định nhưng đừng để bản thân dễ bị tổn thương quá mức. Lập kế hoạch DR dự đoán sự mất mát của nhà cung cấp. Các chi tiết phụ thuộc vào chính xác những gì đám mây cung cấp cho bạn. DR có thể có nghĩa là bất cứ điều gì từ việc rút một ổ ZIP sao lưu ra khỏi hộp khóa đến chuyển đổi nóng sang cài đặt DRaaS được trang bị đầy đủ. Các nhà cung cấp tốt có thể giúp bạn với ít nhất một phần của kế hoạch, mặc dù bản sao lưu và DR của bạn phải được xem xét bởi một nhà tư vấn độc lập.


Kế hoạch DR của bạn nên bao gồm một yếu tố đảo ngược? Có nghĩa là, một cách để tiếp tục ngay cả khi đám mây trở nên hoàn toàn không có sẵn hoặc Internet sụp đổ? Câu hỏi này đi quá xa vào triết lý cho một câu trả lời ngắn gọn, nhưng những gì các công ty có thể làm là, bao gồm xem xét rõ ràng về các sự kiện cực đoan và chi phí liên quan đến các biện pháp đối phó khác nhau trong kế hoạch của họ. Công ty của bạn có thể có một kế hoạch DR rẻ tiền mà không cần dựa vào Internet và quyết định rằng việc bảo vệ là đáng giá. Hầu hết các tổ chức làm việc với các kế hoạch DR tương đối nguyên thủy và ưu tiên các hoạt động hàng ngày. Mặc dù, ít nhất bắt đầu các bài tập DR là một kinh nghiệm giáo dục và bổ ích.


Giữ nó thật

Khi bạn có những kỳ vọng bảo mật trên nền tảng đám mây thực tế, bạn đang ở vị trí tốt nhất để thành công. Có, bạn có thể mua terabyte dung lượng lưu trữ tại cửa hàng hộp lớn tại địa phương với giá thấp đáng kinh ngạc. Khi bạn trả tiền thuê bao hàng tháng cho các dịch vụ đám mây, hãy nhớ rằng bạn không chỉ nhận được giá trị của đĩa mà còn được tự động sao lưu, thông gió, chạy trên kết nối tốc độ cao với đường trục Internet và được kiểm tra và giám sát các mối nguy về bảo mật . Phần cứng chiếm một phần nhỏ trong chi phí của gần như tất cả các dịch vụ đám mây.

Ngay cả sau khi bạn chuyển sang đám mây, các mối đe dọa bảo mật máy tính lớn nhất của bạn sẽ vẫn là nội bộ đối với công ty của bạn: trộm cắp và các tội ác khác của nhân viên. Nhà cung cấp của bạn có thể và sẽ giúp bạn giám sát các hoạt động, nhưng cuối cùng, văn hóa công ty của chính bạn sẽ quyết định phần lớn số phận của chuyến đi của bạn qua đám mây. Thực hiện tám bước sau và di chuyển đám mây của bạn sẽ thành công:

1. Chơi để giành chiến thắng, nhắm mục tiêu cao và mong đợi bảo mật tốt hơn, chi phí thấp hơn và phản ứng nhanh hơn.

2. Hiểu các yêu cầu của riêng bạn và đặt chúng bằng văn bản.

3. Hiểu hồ sơ bảo mật dữ liệu cụ thể của bạn.

4. Đàm phán khôn ngoan và yêu cầu những gì bạn cần.

5. Chỉ định một nhà vô địch đám mây sẽ giành chiến thắng.

6. Giữ liên lạc.

7. Tin tưởng nhưng xác minh để đảm bảo chống lại sự mất mát của nhà cung cấp.

8. Giữ cho nó thật và điều chỉnh kỳ vọng.

Playbook bảo mật đám mây smb