Video: SMB PlayBook Checkup - $CHTR (Ottobre 2024)
La prima regola in questo Playbook di sicurezza sul cloud di piccole e medie imprese (SMB) è che ci siamo dentro per vincerlo. Non cavarsela o risparmiare abbastanza denaro per comprare un caffè o per seguire la folla. Si tratta di portare l'azienda a un nuovo livello, contemporaneamente risparmiando denaro e migliorando la sicurezza. Se non ti aspetti tutti questi benefici dal tuo passaggio al cloud, allora sei nel gioco sbagliato.
Il passaggio al cloud è strategico e redditizio. Non considerare il passaggio al cloud come ripensamento. Mettici dei bravi lavoratori esperti, non uno stagista a tempo parziale.
Indipendentemente dal fatto che la linea di business principale sia costituita da parti di automobili, pianificazione di eventi o persino software per computer, l'obiettivo di questo playbook è aiutarti a concentrarti sulla tua visione centrale. In larga misura, le operazioni del computer sono solo una distrazione. Il provisioning IT ora è abbastanza routinario da farti fidare di un fornitore esterno piuttosto che far sì che il tuo personale cerchi di fare tutto. Con le giuste scelte cloud, la tua organizzazione risparmierà le spese in conto capitale, otterrà la sicurezza operativa e sarà più agile e reattiva.
Un'opportunità per conoscerti
Le aziende hanno ragione a preoccuparsi della sicurezza del cloud. I costi diretti e indiretti delle recenti violazioni dei dati presso aziende come Anthem, Ashley Madison, CVS, Experian, Scottrade, Target e Trump Hotel Collection sono semplicemente sbalorditivi. Gli errori non derivano specificamente dalle vulnerabilità del cloud; erano rotture nelle politiche fondamentali e nell'esecuzione all'interno delle aziende.
"Cloud" copre una vasta gamma di offerte. Per una società, potrebbe essere un punto di svolta per adottare un semplice servizio online per sostituire le schede dei tempi dei lavoratori con uno strumento collegato in rete. Un'altra società potrebbe decidere che non ha bisogno di nient'altro che un intero data-center-as-a-service (DCaaS), accessibile tramite desktop-as-a-service (DaaS) e rafforzata da disaster-recovery-as-a-service (DRaaS), con tutto spostato fuori sede. Una terza azienda potrebbe saltare completamente nel cloud, ma una privata in un luogo fisico conforme alle normative legali.
I dettagli sulla sicurezza del cloud differiranno tra questi esempi, ma molti dei fondamenti sono identici:
1. Dai a ogni dipendente il proprio login.
2. Creare una procedura standard per la pensione degli account quando i dipendenti lasciano.
3. Fornire istruzioni amministrative scritte per l'accesso al backup e il supporto cloud.
4. Creare relazioni commerciali tra la propria organizzazione e il fornitore della sicurezza cloud prima che si verifichi un'emergenza.
5. Tu e il tuo fornitore dovreste avere un accordo comprensibile ed esplicito sulle aspettative dell'accordo sul livello di servizio (SLA), compresa la frequenza delle interruzioni e un piano d'azione per le interruzioni.
Proprio come un piano aziendale formale aiuta a sfruttare al meglio l'intera organizzazione, è utile disporre di una redazione esplicita dei requisiti IT che copra flussi di lavoro, punti di forza e punti deboli. Un aspetto importante della pianificazione è quello di intervistare i principali proprietari di carichi di lavoro all'interno dell'organizzazione per confermare dettagli precisi su come la tua azienda svolge la propria attività. Assicurati di migrare i veri carichi di lavoro, non quello che ricordi che potrebbero essere stati in passato.
Inoltre, pianifica una sequenza esplicita per la tua migrazione. Cerca frutta a bassa pendenza; migrare prima i flussi di lavoro facilmente trasportabili, a basso rischio e ad alto rendimento. Impara dalle prime migrazioni e aggiorna il tuo modello di migrazione mentre passi a migrazioni più incerte o pericolose (o decidi, sulla base della tua esperienza, di mantenere un flusso di lavoro particolare fuori dal cloud).
La prima volta che scrivi i requisiti, non sarai perfetto. Va bene iniziare un piano, pensare di averlo catturato tutto, iniziare a dipendere dai servizi cloud e quindi concludere che le cose non vanno bene. Il grande valore del tuo primo contratto potrebbe essere imparare ciò che è efficace. Non c'è da vergognarsi di cambiare fornitore all'inizio. Molte violazioni dei dati degne di nota si verificano quando diventa prassi per un'organizzazione "aggirare" standard ben intenzionati ma inadeguati. La maggior parte dei servizi cloud prevede esplicitamente un mese di prova o giù di lì; aspettatevi di sfruttare questi "test drive".
Ricorda: più chiaramente capisci ciò che conta davvero per te, più è probabile che tu lo riceva. In astratto, è possibile chiedere al provider di servizi cloud qualsiasi cosa, dalla sicurezza mobile, alla condivisione e al backup dei file di livello consumer, alle funzioni line-of-business (LOB), inclusi contabilità, inventario e pianificazione delle risorse aziendali (ERP). Sai meglio quali dovrebbero essere le tue priorità. Non limitarti a prendere ciò che ti viene offerto; pensa a ciò che più guadagna la tua attività.
Conosci i tuoi dati
Le aziende moderne riconoscono che i loro dati meritano un'attenzione specifica. In larga misura, altre parti di un'azienda possono essere sostituite o esternalizzate. Ma i dati chiave - su clienti, dipendenti, processi e proprietà - formano un valore unico per un'azienda.
Pertanto, il piano di migrazione dovrebbe includere, in termini chiari e specifici, non solo ciò che fai e come lo farai nel cloud, ma come manterrai al sicuro le informazioni chiave dell'azienda. La posta elettronica è un carico comune da spostare nel cloud. Mentre la posta elettronica è spesso ricca di informazioni proprietarie, è anche una tecnologia matura e una che il cloud offre bene. Diversi analisti indipendenti hanno concluso che l'hosting della posta elettronica nel cloud è generalmente più sicuro della gestione interna del servizio di posta elettronica. Tuttavia, se hai requisiti di posta elettronica speciali (come una limitazione legale per l'archiviazione in una giurisdizione specifica) dovrai adeguare il tuo piano per tener conto di ciò.
I programmi personalizzati che incorporano le transazioni dei clienti o i processi industriali presentano il profilo opposto. Nessun fornitore di cloud esiste per fornire il tuo servizio unico. D'altra parte, anche il software più insolito, proprietario e privato può essere eseguito su macchine virtuali (VM) noleggiate dal cloud. È possibile mantenere l'archiviazione dei dati all'interno dell'organizzazione ma fare affidamento sul cloud per operare sui dati. Ciò trasforma le spese in conto capitale (CAPEX) dei server di acquisto in spese operative regolabili (OPEX).
Chiedi quello che vuoi
Le operazioni al computer sono in gran parte di routine ma i modelli di business che li circondano non sono ancora completamente cotti. Alcune parti del cloud sono completamente standardizzate. Ogni giorno, ad esempio, migliaia di persone ricevono nuovi account e-mail gratuiti da Google, Microsoft, Yahoo e così via. Nessun essere umano interviene.
Servizi cloud più specializzati, tuttavia, sono generalmente supportati da uno staff di supporto. Puoi e dovresti porre domande. Se un determinato servizio cloud ti sembra giusto, tranne per il fatto che non fornisce rapporti in un formato corrispondente al tuo sistema contabile, informalo con il fornitore. Spesso, possono prendere accordi che non compaiono sulle loro pagine pubbliche.
In larga misura, la domanda sul cloud non è "Dovremmo adottare?" I tuoi dipendenti stanno già utilizzando i servizi cloud, indipendentemente dal fatto che tu te ne renda conto. La domanda cloud più pertinente è "Quale fornitore si adatta meglio?" Se è necessario controllare le operazioni per conformarsi alla Health Insurance Portability & Accountability Act (HIPAA) o al Sarbanes-Oxley Act (SOX), ditelo. Se leggere i registri dei tentativi di intrusione sventati ti dà conforto, chiedili. La maggior parte dei fornitori comprende che i buoni clienti formano relazioni a lungo termine e collaboreranno con richieste ragionevoli. Uno dei grandi vantaggi della dipendenza dal cloud è che puoi avere esperti di livello mondiale che lavorano per te. Ottieni il massimo da questo.
Assegna un campione vincitore
Assegna la responsabilità del successo della tua azienda nel cloud a qualcuno qualificato. Un candidato ideale dovrebbe mostrare alcune qualità specifiche:
1. Alto status all'interno dell'azienda.
2. Entusiasta delle opportunità offerte dal cloud.
3. Sensibile ai problemi di sicurezza.
4. Competente nella gestione e nelle operazioni del progetto.
5. Ambizioso (in senso buono).
Sebbene sia improbabile trovare un candidato che soddisfi tutte le qualifiche, vale la pena fare uno sforzo per identificare un campione con almeno due o tre di questi attributi. Un campione non deve necessariamente essere un esperto di sicurezza cloud certificato o avere responsabilità IT a tempo pieno. L'entusiasmo e la diligenza sono qualità più importanti.
Se un'organizzazione è abbastanza piccola, il campione del cloud potrebbe provenire dal reparto finanziario o acquisti, qualcuno che coinvolge consulenti per rivedere piani e risultati dei controlli. Cercare consulenti che possano esprimere chiaramente i loro risultati in termini commerciali; questi sono quelli in grado di quantificare i carichi di lavoro che hanno alleviato e i tempi di processo che hanno ridotto, non solo le tecnologie alla moda in cui si sono dilettati.
Resta in contatto
Qualcuno dedicato alla tua azienda dovrebbe rimanere in contatto con il tuo fornitore. Chiama periodicamente, leggi i blog dei fornitori o i comunicati stampa e chiedi nuove offerte. Probabilmente hai un dipendente che si impegna a trovare speciali sul sapone di ricarica o sa quale cassiere in banca può accelerare il riconoscimento dei depositi. La vitale sicurezza dei dati aziendali merita almeno la stessa attenzione ai dettagli.
Non deve essere un peso schiacciante; anche solo un'ora alla settimana può migliorare notevolmente la comprensione di come opera il tuo provider e cosa significa per te. I fornitori spesso possono suggerire una formazione sulle nuove minacce alla sicurezza, su come mitigarle, sui modi in cui la tua azienda può utilizzare meglio il cloud (a volte a costi inferiori!), Sui cambiamenti che probabilmente saranno nel corso del prossimo anno e altro ancora. Ottieni il massimo da quello che dovrebbe essere un partner strategico.
Fidarsi ma verificare
Devi fare affidamento sul tuo fornitore in una certa misura, ma non lasciarti eccessivamente vulnerabile. Elaborare piani di DR che anticipano la perdita del provider. I dettagli dipendono esattamente da cosa ti offre il cloud. DR potrebbe significare qualsiasi cosa, dall'estrazione di un'unità ZIP di backup dal lockbox a una commutazione a caldo a un'installazione DRaaS completamente attrezzata. I buoni fornitori possono aiutarti con almeno una parte della pianificazione, anche se il tuo backup e DR dovrebbero essere esaminati da un consulente indipendente.
Il tuo piano di DR dovrebbe includere un elemento inverso? Significa, un modo per andare avanti anche se il cloud diventa completamente non disponibile o Internet cade a pezzi? Questa domanda si aggira troppo nella filosofia per una breve risposta, ma ciò che le aziende possono fare è includere esplicitamente la considerazione di eventi estremi e dei costi associati a diverse contromisure nel loro piano. La tua azienda potrebbe avere un piano DR economico senza fare affidamento su Internet e decidere che la protezione è utile. La maggior parte delle organizzazioni elabora piani di DR relativamente primitivi e dà la priorità alle operazioni quotidiane. Tuttavia, almeno iniziare gli esercizi di DR è un'esperienza educativa e gratificante.
Keep it Real
Quando hai aspettative realistiche sulla sicurezza del cloud, sei nella posizione migliore per il successo. Sì, puoi acquistare terabyte di spazio di archiviazione presso il grande negozio locale a prezzi incredibilmente bassi. Quando paghi l'abbonamento mensile per i servizi cloud, ricorda che stai ricevendo non solo il valore di un disco, ma uno di cui è stato automaticamente eseguito il backup, la ventilazione, l'esecuzione su una connessione ad alta velocità a una dorsale Internet e il lavaggio e il monitoraggio per rischi di sicurezza. L'hardware costituisce una minoranza delle spese di quasi tutte le offerte cloud.
Anche dopo il passaggio al cloud, le maggiori minacce alla sicurezza del computer rimarranno interne alla tua azienda: furti e altri crimini dei dipendenti. Il tuo provider può e dovrebbe aiutarti a monitorare le operazioni ma, in definitiva, la tua cultura aziendale determinerà gran parte del destino del tuo viaggio attraverso il cloud. Segui questi otto passaggi e la migrazione del cloud avrà esito positivo:
1. Gioca per vincere, mirare in alto e aspettarti una migliore sicurezza, costi inferiori e maggiore reattività.
2. Comprendi le tue esigenze e mettile per iscritto.
3. Comprendi il tuo profilo di sicurezza dei dati specifico.
4. Negoziare saggiamente e chiedere ciò di cui hai bisogno.
5. Assegna un campione cloud che vincerà.
6. Resta in contatto.
7. Affidati ma verifica per garantire contro la perdita del provider.
8. Mantenerlo reale e adattare le aspettative.
