Videó: How I Passed the Certified Cloud Security Professional (CCSP) (November 2024)
Ebben a kis, közepes méretű (SMB) Cloud Security Playbook-ban az első szabály az, hogy benne vagyunk, hogy megnyerjük. Nem szabad elmenni, vagy elég pénzt megtakarítani a kávé vásárlásához vagy a tömeg követéséhez. Arról szól, hogy a társaságot új szintre kell emelni, pénzmegtakarítást és a biztonság fokozását egyidejűleg. Ha nem várja el mindezen előnyöket a felhőbe való költözésből, akkor rossz játékban van.
A felhőbe való átállás stratégiai és jövedelmező. Ne kezelje utógondolatként a felhőbe való elmozdulást. Helyezze rá jó, tapasztalt munkavállalókat, ne részmunkaidős gyakornokot.
Függetlenül attól, hogy fő üzleti tevékenysége az autóalkatrészek, az események tervezése vagy akár a számítógépes szoftverek is, ennek a játékkönyvnek az a célja, hogy segítsen Önnek összpontosítani központi látásában. A számítógépes műveletek nagymértékben csak a figyelmet vonják le. Az IT-ellátás ma már eléggé rutin, hogy jobban bízhasson egy külső gyártóval szemben, ahelyett, hogy saját munkatársai megpróbálnák mindent megtenni. A megfelelő felhőválasztással a szervezet megtakarítja a tőkeköltségeket, megszerezheti az operatív biztonságot, és lendületes és reagáló.
Lehetőség megismerni magad
A vállalatoknak igaza van, hogy aggódnak a felhő biztonsága miatt. Az olyan társaságokban, mint az Anthem, az Ashley Madison, a CVS, az Experian, a Scottrade, a Target és a Trump Hotel Collection, a közelmúltban tapasztalható adatok megsértésének közvetlen és közvetett költségei egyszerűen megdöbbentőek. A hibák nem kifejezetten a felhő sérülékenységéből származnak; bontások voltak az alapvető politikákban és a végrehajtásban a társaságokon belül.
A "Cloud" hatalmas kínálatot fed le. Egy vállalkozás számára játékváltó lehet egy egyszerű online szolgáltatás elfogadása, amely a munkavállalók időkártyáit hálózati eszközzel cseréli ki. Egy másik cég úgy dönthet, hogy nem kevesebbre van szüksége, mint egy teljes adatközpont-szolgáltatásként (DCaaS), amelyhez asztali számítógépeken (DaaS) keresztül lehet hozzáférni, és amelyet katasztrófa utáni helyreállítás-szolgáltatásként (DRaaS), mindent a telephelyen kívülre költözve. Lehet, hogy egy harmadik társaság teljes mértékben ugrik a felhőbe, de egy magántulajdonban lévő személy a fizikai helyen, amely megfelel a jogi előírásoknak.
A felhőbiztonság részletei e példák között különböznek, de sok alapvető elem azonos:
1. Minden alkalmazottnak meg kell adnia a saját bejelentkezési adatait.
2. Hozzon létre egy általános eljárást a számlák visszavonására, amikor az alkalmazottak távoznak.
3. Adjon írásbeli adminisztrátori utasításokat a biztonsági mentéshez és a felhő-támogatáshoz.
4. Vészhelyzet kialakítása előtt hozzon létre üzleti kapcsolatokat a szervezet és a felhőalapú biztonsági szolgáltató között.
5. Önnek és a szolgáltatónak érthető, egyértelmű megállapodással kell rendelkeznie a szolgáltatási szintű megállapodás (SLA) elvárásairól, ideértve az áramszünetek gyakoriságát és az üzemszüneti cselekvési tervet.
Ugyanúgy, ahogyan a hivatalos üzleti terv elősegíti a szervezet egészének a lehető legtöbbet kiaknázását, kifizetődő egy kifejezett informatikai követelmények felírása, amely lefedi a munkafolyamatokat, az erősségeket és a gyengeségeket. Az egyik fontos tervezési szempont az, hogy megkérdezzék a szervezeten belüli kulcsfontosságú munkaterhelés-tulajdonosokat, hogy pontos információkat nyújtsanak be arról, hogy az Ön vállalkozása hogyan teljesíti üzleti tevékenységét. Győződjön meg arról, hogy a valódi munkaterhelést költözteti át, nem pedig arra, amire emlékszik, hogy a múltban lehetett.
Tervezze meg az áttelepítés pontos sorrendjét is. Keressen alacsonyan lógó gyümölcsöket; először vándorolnak át a könnyen szállítható, alacsony kockázatú és magas hozamú munkafolyamatokba. Tanuljon a korai migrációból, és frissítse a migrációs mintát, amikor bizonytalanabb vagy veszélyesebb migrációra lép (vagy tapasztalatai alapján úgy dönt, hogy egy adott munkafolyamatot nem tartalmaz a felhőből).
Amikor először írja fel a követelményeket, nem lesz tökéletes. Rendben, ha elkezdi a tervet, gondolja, hogy mindent elfoglalt, elkezd függővé válni a felhőszolgáltatásoktól, és aztán lezárja, hogy a dolgok egyszerűen nem kényelmesek. Az első szerződés nagy értéke lehet a hatékony megtanulása. Nincs szégyen a szolgáltatók korábbi váltásáról. Sok főcímre méltó adat megsértése akkor fordul elő, amikor a szervezet rutinszerűvé teszi a jól megtervezett, de rosszul illeszkedő szabványok „megkerülését”. A legtöbb felhőszolgáltatás kifejezetten kb. elvárják, hogy kihasználják ezeket a "tesztmeghajtókat".
Ne feledje: Minél tisztábban megérti, mi igazán számít neked, annál valószínűbb, hogy megkapja. Absztraktként a felhő-szolgáltatótól mindent megkérdezhet a mobil biztonságtól és a fogyasztói szintű fájlmegosztástól és a biztonsági mentéstől az üzletág (LOB) funkciókig, beleértve a könyvelést, a leltárt és a vállalati erőforrás-tervezést (ERP). A legjobban tudja, hogy mi legyen a saját prioritások. Ne csak vegye el azt, amit kínál; gondolja át, hogy mi a legnagyobb profit a vállalkozásod számára.
Ismerje meg adatait
A modern vállalkozások felismerik adataikat, külön figyelmet érdemelnek. Az üzleti vállalkozás egyéb részei nagyrészt cserélhetők vagy kiszervezhetők. A kulcsfontosságú adatok - az ügyfelekről, az alkalmazottakról, a folyamatokról és a tulajdonságokról - a vállalat egyedi értékét alkotják.
Ezért a migrációs tervnek egyértelműen és konkrétan nemcsak azt kell tartalmaznia, hogy mit csinálsz és hogyan fogsz csinálni a felhőben, hanem azt is, hogyan fogja biztonságosan megőrizni a vállalati információk kulcsfontosságú elemeit. Az e-mail egy általános betöltés a felhőhöz. Noha az e-mail gyakran gazdag védett információkkal, ez még egy érett technológia, és a felhő jól szolgáltat. Több független elemző arra a következtetésre jutott, hogy az e-mail felhőben való tárolása általában biztonságosabb, mint a házon belüli e-mail szolgáltatás kezelése. Ha azonban különleges e-mail követelményei vannak (például egy meghatározott joghatóság alatt történő tárolás jogi korlátozása), akkor a tervét ennek figyelembevétele érdekében módosítania kell.
Az ügyfelek tranzakcióit vagy ipari folyamatokat megtestesítő testreszabott programok ellentétes profilt mutatnak. Nincs olyan felhőszolgáltató, amely az Ön egyedi szolgáltatását nyújtaná. Másrészt, még a legszokatlanabb, szabadalmaztatott és magánszoftverek is futhatnak a felhőből bérelt virtuális gépeken (virtuális gépek). Lehetőség van adattárolásra a szervezetén belül, de támaszkodhat a felhőre az adatok kezeléséhez. Ez kiszolgálók beszerzésének beruházási ráfordítását (CAPEX) állítható működési kiadássá (OPEX) teszi.
Kérdezd meg, mit akarsz
A számítógépes műveletek nagyrészt rutinok, de az őket körülvevő üzleti modellek még nem készültek teljesen fel. A felhő egyes részeit alaposan szabványosítják. Például minden nap több ezer ember kap új, ingyenes e-mail fiókokat a Google-tól, a Microsoft-tól, a Yahoo-tól és így tovább. Senki sem beavatkozik.
A speciálisabb felhőszolgáltatásokat azonban általában támogató személyzet támogatja. Kérdéseket tehet fel és kell feltennie. Ha egy adott felhőalapú szolgáltatás Önnek megfelelőnek tűnik, kivéve, ha nem nyújt megfelelő formátumú jelentéseket a számviteli rendszeréhez, akkor vegye fel a szolgáltatót. Gyakran olyan intézkedéseket hozhatnak, amelyek nem jelennek meg a nyilvános oldalakon.
A felhő kérdése nagyrészt nem az, hogy "El kellene fogadnunk?" Az alkalmazottak már igénybe veszik a felhőszolgáltatásokat, függetlenül attól, hogy felismerik-e vagy sem. A relevánsabb felhő kérdése: "Melyik eladó illik a legjobban?" Ha ellenőriznie kell a műveleteket, hogy megfeleljen az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvénynek (HIPAA) vagy a Sarbanes-Oxley törvénynek (SOX), akkor mondja azt. Ha a becsapódási kísérletek naplóinak olvasása kényelmet nyújt, kérdezze meg őket. A legtöbb szolgáltató megérti, hogy a jó ügyfelek hosszú távú kapcsolatokat alakítanak ki, és ésszerű kérésekkel együttműködnek. A felhőfüggőség egyik nagy előnye, hogy világszínvonalú szakértők dolgozhatnak az Ön számára. Hozza ki a legtöbbet ebből.
Jelöljön ki egy Nyerő Bajnokot
A felelősséget vállalkozása sikere miatt a felhőben adjon képzetteknek. Az ideális jelöltnek néhány különleges tulajdonsággal kell rendelkeznie:
1. Magas státus a vállalaton belül.
2. Lelkesedik a felhő által rejlő lehetőségekről.
3. Érzékeny a biztonsági aggályokra.
4. Kompetens a projektmenedzsment és a műveletek területén.
5. Ambiciózus (jó értelemben vett).
Noha valószínűtlen, hogy megtalálja az összes képesítésnek megfelelő jelöltet, érdemes erőfeszítéseket tenni a bajnok azonosítására ezen tulajdonságok közül legalább kettővel vagy háromval. A bajnoknak nem kell tanúsított felhőbiztonsági szakértőnek lennie, vagy teljes munkaidős informatikai felelősséggel kell bírnia. A lelkesedés és a szorgalom fontosabb tulajdonságok.
Ha egy szervezet elég kicsi, akkor a felhő bajnok a pénzügyi vagy beszerzési osztálytól származhat, aki tanácsadókat hív be a tervek és az ellenőrzési eredmények áttekintésére. Keressen olyan tanácsadókat, akik üzleti szempontból világosan meg tudják fejezni teljesítményüket; ezek képesek a megkönnyebbült munkaterhelések számszerűsítésére és az elszalasztott idő feldolgozására, nem csak a divatos technológiákra, amelyekben elrontottak.
Maradj kapcsolatban
Valaki, aki a vállalata iránt szenved, tartson kapcsolatot a szolgáltatójával. Időszakosan hívjon, olvassa el a szolgáltatói blogokat vagy sajtóközleményeket, és kérjen új ajánlatokat. Valószínűleg van egy alkalmazottja, aki különös figyelmet fordít a szappan utántöltésére, vagy tudja, melyik bank pénztára gyorsíthatja meg a betétek elismerését. A létfontosságú vállalati adatbiztonság legalább annyira figyelmet érdemel a részletekre.
Nem kell, hogy zúzó teher legyen; akár a heti mindössze egy óra drámaian javíthatja a szolgáltató működésének betekintését, és mit jelent az Ön számára. A szolgáltatók gyakran javasolhatnak képzést az új biztonsági fenyegetésekről, azok csökkentéséről, arról, hogy a vállalata hogyan tudja jobban használni a felhőt (olykor alacsonyabb költséggel!), Az elkövetkező évre várható változásokról és egyebekről. Hozza ki a legtöbbet a stratégiai partnernek.
Bízz, de ellenőrizd
Bizonyos mértékben támaszkodnia kell szolgáltatóra, de ne hagyja magát túlságosan sebezhetőnek. Készítsen DR-terveket, amelyek előrejelzik a szolgáltató veszteségét. A részletek attól függ, hogy pontosan mit nyújt a felhő. A DR jelenthet valamit: egy biztonsági mentési ZIP meghajtó kihúzását a zárlapról a forró átállásra a teljesen felszerelt DRaaS telepítésre. A jó szolgáltatók segíthetnek a tervezés legalább egy részében, bár a biztonsági mentést és a DR-t független tanácsadónak kell felülvizsgálnia.
A DR-tervnek tartalmaznia kell-e egy fordított elemet? Jelentése: a továbblépés módja akkor is, ha a felhő teljesen elérhetetlenné válik, vagy ha az Internet szétesik? Ez a kérdés túl messzire esik a rövid válasz megválaszolásához szükséges filozófiában, de a vállalatok mit tehetnek az, hogy a szélsőséges eseményeket és a különféle ellenintézkedésekkel járó költségeket kifejezetten figyelembe veszik a tervükben. Lehet, hogy vállalkozásának olcsó DR-terve van, anélkül, hogy az Internetre támaszkodna, és úgy dönt, hogy a védelem érdemes. A legtöbb szervezet viszonylag primitív DR terveket dolgoz ki, és fontossági sorrendbe állítja a napi műveleteket. Ennek ellenére a DR gyakorlatok elindítása legalább oktató és kifizetődő tapasztalat.
Tartsd valóban
Ha reális felhőbiztonsági elvárásokkal szembesül, akkor a legjobb helyzetben van a sikerhez. Igen, megvásárolhat terabyte tárhelyet a helyi nagy dobozban, megdöbbentően alacsony árakon. Ha fizet a havi előfizetéséért a felhőalapú szolgáltatásokért, ne felejtse el, hogy nemcsak egy lemez értékét kapja, hanem egy automatikusan biztonsági másolatot készített, szellőztetett, nagy sebességű internetes gerinchálózaton futó számítógépet, és a biztonsági kockázatokat átvizsgálja és megfigyeli.. A hardver szinte minden felhőajánlat költségeinek kis részét teszi ki.
Még a felhőbe költözés után is a legnagyobb számítógépes biztonsági fenyegetések továbbra is a vállalaton belül maradnak: lopások és egyéb munkavállalói bűncselekmények. A szolgáltatója segíthet és segíthet Önnek a műveletek nyomon követésében, de végül a saját vállalati kultúrája meghatározza a felhőn át tartó utazás sorsát. Hajtsa végre ezt a nyolc lépést, és a felhő-migráció sikeres lesz:
1. Játssz győzelemre, célozz magasra, és várj jobb biztonságot, alacsonyabb költségeket és nagyobb reakcióképességet.
2. Megérti saját igényeit, és írja le azokat.
3. Ismerje meg saját adatbiztonsági profilját.
4. Bölcsen folytasson tárgyalásokat és kérje meg, amire szüksége van.
5. Jelöljön ki egy felhő bajnokot, aki nyeri.
6. Tartsa a kapcsolatot.
7. Bízzon, de ellenőrizze, hogy elkerülhető-e a szolgáltató vesztesége.
8. Tartsd valóban, és igazítsd az elvárásokat.
