Video: The SMB Security Dilemma (Oktober 2024)
Den første regel i denne lille, mellemstore virksomhed (SMB) Cloud Security Playbook er, at vi er i den for at vinde den. Ikke for at komme forbi eller spare nok småpenge til at købe kaffe eller for at følge mængden. Det handler om at øge virksomheden til et nyt niveau, samtidig spare penge og forbedre sikkerheden. Hvis du ikke forventer alle disse fordele ved din flytning til skyen, er du i det forkerte spil.
Et skridt til skyen er strategisk og rentabelt. Behandl ikke at flytte til skyen som en eftertanke. Sæt gode erfarne medarbejdere på det, ikke en deltids praktikant.
Uanset om din vigtigste forretningsgrænse er bildele, begivenhedsplanlægning eller endda computersoftware, er målet med denne playbook at hjælpe dig med at fokusere på din centrale vision. I vid udstrækning er computerdrift kun en distraktion. IT-levering er nu rutinemæssig nok, så du er bedre til at stole på den til en ekstern leverandør i stedet for at have dine egne medarbejdere forsøge at gøre det hele. Med de rigtige cloud-valg gemmer din organisation kapitaludgifter, får operationel sikkerhed og være mere kvikk og lydhør.
En mulighed for at kende dig selv
Virksomheder har ret i at være bekymrede for skysikkerhed. De direkte og indirekte omkostninger ved nylige dataovertrædelser hos virksomheder som Anthem, Ashley Madison, CVS, Experian, Scottrade, Target og Trump Hotel Collection er ganske enkelt svimlende. Fejlene skyldtes ikke specifikt cloud-sårbarheder; de var sammenbrud i grundlæggende politikker og gennemførelse i virksomhederne.
"Cloud" dækker et enormt udbud af tilbud. For et firma kan det være en spiludveksler at vedtage en simpel onlinetjeneste til at erstatte arbejdstagernes tidskort med et netværksværktøj. Et andet firma kan muligvis beslutte, at det ikke behøver noget mindre end en hel datacenter-som-en-service (DCaaS), der er adgang til via desktops-as-a-service (DaaS), og forstærket af katastrofe-opsving-som-en-service (DRaaS), med alt flyttet fra lokalet. Et tredje firma springer måske fuldt ud i skyen - men en privat på en fysisk placering, der overholder lovbestemmelser.
Cloud-sikkerhedsdetaljer vil variere mellem disse eksempler, men mange af de grundlæggende elementer er identiske:
1. Giv hver medarbejder sit eget login.
2. Opret en standardprocedure for tilbagetrækning af konti, når medarbejdere forlader.
3. Giv skriftlige administratorinstruktioner til backup-adgang og cloud-support.
4. Opret forretningsforhold mellem din organisation og leverandøren af skysikkerhed, før der opstår en nødsituation.
5. Du og din udbyder skal have en forståelig, eksplicit aftale om forventninger til serviceniveauaftale (SLA), herunder strømfrekvens og en handlingsplan for afbrydelse.
Ligesom en formel forretningsplan hjælper med at få mest muligt ud af din organisation som helhed, betaler det sig at have en eksplicit skrivning af it-krav, der dækker arbejdsgange, styrker og svagheder. Et vigtigt planlægningsaspekt er at interviewe nøgleholdere i din organisation for at bekræfte præcise detaljer om, hvordan din virksomhed udfører deres forretning. Sørg for, at du migrerer de rigtige arbejdsbelastninger, ikke det, du kan huske, de kunne have været i fortiden.
Planlæg også en eksplicit sekvens til din migrering. Se efter lavthængende frugt; migrer let transporterbare, lavrisiko- og arbejdsgange med høj afkast først. Lær fra tidlige migrationer, og opdater dit migreringsmønster, når du går til mere usikre eller farlige migrationer (eller beslutter på baggrund af din oplevelse at holde en bestemt arbejdsgang ude af skyen).
Første gang du skriver op krav, vil du ikke være perfekt til det. Det er okay at starte en plan, tro, at du har fanget det hele, begynde at være afhængig af skytjenester og derefter konkludere, at tingene bare ikke er behagelige. Den store værdi af din første kontrakt kan være at lære, hvad der er effektivt. Der er ingen skam ved at skifte udbydere tidligt. Mange overskridelsesværdige dataovertrædelser opstår, når det bliver rutinemæssigt for en organisation at "arbejde omkring" velment, men dårligt tilpassede standarder. De fleste cloud-tjenester sørger eksplicit for en prøve måned eller deromkring; forventer at drage fordel af disse "testkørsler."
Husk: Jo tydeligere du forstår, hvad der virkelig betyder for dig, jo mere sandsynligt er det for, at du modtager det. I sammendraget kan du bede skyudbyderen om alt fra mobilsikkerhed og forbrugerklasse fildeling og sikkerhedskopiering, til line-of-business (LOB) -funktioner, herunder regnskab, inventar og enterprise resource planning (ERP). Du ved bedst, hvad dine egne prioriteter skal være. Tag ikke bare det, du får tilbudt; tænk gennem, hvad de fleste fortjener din virksomhed.
Kend dine data
Moderne virksomheder anerkender, at deres data fortjener særlig opmærksomhed. I vid udstrækning kan andre dele af en virksomhed udskiftes eller outsources. Men nøgledata - om kunder, ansatte, processer og egenskaber - danner en virksomheds unikke værdi.
Derfor skal din migrationsplan omfatte, i klare og specifikke vilkår, ikke kun hvad du gør, og hvordan du gør det i skyen, men hvordan du vil beskytte de vigtigste forretningsinformationer. E-mail er en almindelig belastning for at flytte til skyen. Mens e-mail ofte er rig på proprietær information, er det også en moden teknologi, og skyen leverer godt. Flere uafhængige analytikere har konkluderet, at hosting-e-mail i skyen generelt er sikrere end at styre e-mail-service internt. Hvis du imidlertid har særlige e-mail-krav (f.eks. En lovlig begrænsning for opbevaring i en bestemt jurisdiktion), skal du justere din plan til at tage højde for dette.
Tilpassede programmer, der omfatter kundetransaktioner eller industrielle processer, viser den modsatte profil. Der findes ingen cloud-leverandør til at levere din unikke service. På den anden side kan selv den mest usædvanlige, proprietære og private software køre på virtuelle maskiner (VM'er), der lejes fra skyen. Det er muligt at bevare datalagring i din organisation, men stole på skyen til at operere på dataene. Dette forvandler kapitaludgifter (CAPEX) ved at købe servere til en justerbar driftsudgift (OPEX).
Spørg efter, hvad du ønsker
Computerdrift er stort set rutine, men forretningsmodellerne omkring dem er endnu ikke fuldt bagt. Nogle dele af skyen er grundigt standardiserede. For eksempel modtager tusinder af mennesker nye dage nye, gratis e-mail-konti fra Google, Microsoft, Yahoo og så videre. Intet menneske griber ind.
Mere specialiserede skytjenester understøttes dog typisk af et supportpersonale. Du kan og bør stille spørgsmål. Hvis en bestemt skytjeneste ser lige ud til dig, medmindre den ikke leverer rapporter i et matchende format til dit regnskabssystem, skal du bringe den op med udbyderen. Ofte kan de arrangere arrangementer, der ikke vises på deres offentlige sider.
I stor udstrækning er skyspørgsmålet ikke, "Bør vi vedtage?" Dine medarbejdere bruger allerede cloud-tjenester, uanset om du er klar over det. Det mere relevante skyspørgsmål er, "Hvilken leverandør passer bedst?" Hvis du har brug for at revidere operationer for at overholde loven om sundhedsforsikring og ansvarlighed (HIPAA) eller Sarbanes-Oxley Act (SOX), skal du sige det. Hvis læsning af logfiler af folierede indbrudsforsøg giver dig trøst, skal du bede om dem. De fleste udbydere forstår, at gode kunder danner langsigtede forhold, og de vil samarbejde med rimelige anmodninger. En af de store fordele ved skyafhængighed er, at du kan have eksperter i verdensklasse, der arbejder for dig. Få mest muligt ud af dette.
Tildel en vindende mester
Tildel ansvaret for din virksomheds succes i skyen til en kvalificeret. En ideel kandidat bør udvise et par specifikke kvaliteter:
1. Høj status inden for virksomheden.
2. Entusiastisk omkring mulighederne i skyen giver.
3. Følsom over for sikkerhedsmæssige problemer.
4. Kompetent i projektledelse og drift.
5. Ambitiøs (på en god måde).
Selvom det er usandsynligt, at du finder en kandidat, der opfylder alle kvalifikationer, er det umagen værd at identificere en mester med mindst to eller tre af disse attributter. En mester behøver ikke være en certificeret skysikkerhedsekspert eller endda have fuldtids it-ansvar. Entusiasme og flid er vigtigere egenskaber.
Hvis en organisation er lille nok, kan skymesteren muligvis komme fra finans- eller indkøbsafdelingen, en person, der bringer konsulenter ind for at gennemgå planer og revisionsresultater. Kig efter konsulenter, der tydeligt kan udtrykke deres resultater i forretningsmæssige vilkår; det er dem, der er i stand til at kvantificere arbejdsmængder, de har lettet, og forarbejdningstider, de har skåret ned, ikke kun moderne teknologier, som de har fortablet.
Holde kontakt
En person, der er helliget din virksomhed, skal holde kontakten med din udbyder. Ring med jævne mellemrum, læs enhver udbyderblogger eller pressemeddelelser, og spørg om nye tilbud. Du har sandsynligvis en medarbejder, der gør sig opmærksom på at finde tilbud på påfyldningssæbe eller ved, hvilken kasserer i banken kan fremskynde anerkendelsen af indskud. Vital virksomheds datasikkerhed fortjener mindst lige så meget opmærksomhed på detaljer.
Det behøver ikke være en knusende byrde; selv kun en time om ugen kan dramatisk forbedre indsigt i, hvordan din udbyder fungerer, og hvad det betyder for dig. Udbydere kan ofte foreslå træning om nye sikkerhedstrusler, hvordan man afbøde dem, måder, hvor din virksomhed bedre kan bruge skyen (nogle gange til lavere omkostninger!), Ændringer, der sandsynligvis er i det kommende år, og mere. Få mest muligt ud af, hvad der skal være en strategisk partner.
Tillid men bekræft
Du er nødt til at stole på din udbyder i et vist omfang, men lad dig ikke for meget sårbar. Lav DR-planer, der forudser tabet af udbyderen. Detaljerne afhænger nøjagtigt af, hvad skyen giver dig. DR betyder muligvis alt fra at trække et backup ZIP-drev ud af lockbox til en hot switchover til en fuldt udstyret DRaaS-installation. Gode udbydere kan hjælpe dig med mindst en del af planlægningen, skønt din sikkerhedskopi og DR bør gennemgås af en uafhængig konsulent.
Bør din DR-plan omfatte et omvendt element? Betydning, en måde at fortsætte på, selvom skyen bliver helt utilgængelig eller Internettet falder fra hinanden? Dette spørgsmål strejker for langt ud i filosofien til et kort svar, men hvad virksomheder kan gøre er at inkludere eksplicit overvejelse af ekstreme begivenheder og omkostningerne forbundet med forskellige modforanstaltninger i deres plan. Din virksomhed har muligvis en billig DR-plan uden at stole på Internettet og beslutte, at beskyttelse er umagen værd. De fleste organisationer udarbejder relativt primitive DR-planer og prioriterer daglig drift. Selvom i det mindste at starte DR-øvelser er en lærerig og givende oplevelse.
Vær dig selv
Når du har realistiske cloud-sikkerhedsforventninger, er du i den bedste position til succes. Ja, du kan købe terabyte lagring i den lokale storboksbutik til chokerende lave priser. Når du betaler dit månedlige abonnement for skytjenester, skal du huske, at du ikke kun har modtaget værdien af en disk, men en, der automatisk sikkerhedskopieres, ventileres, kører på en højhastighedsforbindelse til en internetryggen og skrubbes og overvåges for sikkerhedsrisici. Hardwaren udgør et mindretal af udgifterne til næsten alle cloud-tilbud.
Selv efter du flytter til skyen, forbliver dine største computersikkerhedstrusler interne for din virksomhed: tyverier og andre medarbejderforbrydelser. Din udbyder kan og bør hjælpe dig med at overvåge driften, men i sidste ende vil din egen virksomhedskultur bestemme meget af skæbnen for din rejse gennem skyen. Tag disse otte trin, og din sky migration vil lykkes:
1. Spil for at vinde, mål højt og forvent bedre sikkerhed, lavere omkostninger og mere lydhørhed.
2. Forstå dine egne krav, og skriv dem skriftligt.
3. Forstå din specifikke datasikkerhedsprofil.
4. Forhandle klogt og bede om, hvad du har brug for.
5. Tildel en skymester, der vinder.
6. Hold kontakten.
7. Stol på, men verificer for at sikre mod tab af leverandører.
8. Hold det reelt, og juster forventningerne.
