Video: The SMB Security Dilemma (November 2024)
De eerste regel in dit MKB Cloud Security Playbook voor kleine tot middelgrote bedrijven is dat we er deel van uitmaken om het te winnen. Niet om rond te komen, of om genoeg klein geld te sparen om koffie te kopen, of om de menigte te volgen. Het gaat erom het bedrijf naar een nieuw niveau te tillen, tegelijkertijd geld te besparen en de beveiliging te verbeteren. Als je niet al die voordelen verwacht van je overstap naar de cloud, zit je in het verkeerde spel.
Een overstap naar de cloud is strategisch en winstgevend. Behandel verhuizen naar de cloud niet als een bijzaak. Zet er goede, ervaren werknemers op, geen parttime stagiair.
Of uw hoofdactiviteit nu auto-onderdelen, evenementenplanning of zelfs computersoftware is, het doel van dit playbook is om u te helpen concentreren op uw centrale visie. Computeractiviteiten zijn in hoge mate slechts een afleiding. IT-voorzieningen zijn nu routinematig genoeg zodat u het beter kunt vertrouwen aan een externe leverancier in plaats van dat uw eigen personeel alles probeert te doen. Met de juiste cloudkeuzes bespaart uw organisatie kapitaaluitgaven, krijgt ze operationele veiligheid en is ze wendbaarder en responsiever.
Een kans om jezelf te kennen
Bedrijven hebben gelijk dat ze zich zorgen maken over cloudbeveiliging. De directe en indirecte kosten van recente datalekken bij bedrijven zoals Anthem, Ashley Madison, CVS, Experian, Scottrade, Target en Trump Hotel Collection zijn gewoon verbluffend. De fouten waren niet specifiek het gevolg van cloudkwetsbaarheden; het waren storingen in fundamenteel beleid en uitvoering binnen de bedrijven.
"Cloud" omvat een enorm aanbod. Voor één bedrijf kan het een spelwisselaar zijn om een eenvoudige online service aan te nemen om de tijdkaarten van werknemers te vervangen door een netwerktool. Een ander bedrijf kan besluiten dat het niets minder nodig heeft dan een volledig datacenter-as-a-service (DCaaS), toegankelijk via desktops-as-a-service (DaaS) en versterkt door disaster-recovery-as-a-service (DRaaS), waarbij alles van het terrein werd verplaatst. Een derde bedrijf kan volledig in de cloud springen, maar een privébedrijf op een fysieke locatie die voldoet aan de wettelijke voorschriften.
Cloudbeveiligingsdetails zullen tussen deze voorbeelden verschillen, maar veel van de basisprincipes zijn identiek:
1. Geef elke werknemer zijn of haar eigen login.
2. Maak een standaardprocedure voor het stoppen van accounts wanneer werknemers vertrekken.
3. Geef schriftelijke admin-instructies voor back-uptoegang en cloudondersteuning.
4. Maak zakelijke relaties tussen uw organisatie en de leverancier van de cloudbeveiliging voordat zich een noodsituatie voordoet.
5. U en uw provider moeten een begrijpelijke, expliciete overeenkomst hebben over de verwachtingen van de Service Level Agreement (SLA), inclusief uitvalfrequentie en een actieplan voor uitval.
Net zoals een formeel businessplan helpt om het beste uit uw organisatie als geheel te halen, loont het om een expliciete IT-vereisten te hebben waarin workflows, sterke en zwakke punten worden beschreven. Een belangrijk planningsaspect is het interviewen van belangrijke werklasteigenaren binnen uw organisatie om precieze details te bevestigen over hoe uw bedrijf zijn bedrijf doet. Zorg ervoor dat u de echte workloads migreert, niet wat u zich herinnert dat ze in het verleden misschien waren.
Plan ook een expliciete volgorde voor uw migratie. Zoek naar laaghangend fruit; migreer eerst gemakkelijk te transporteren, workflows met een laag risico en een hoog rendement. Leer van vroege migraties en werk uw migratiepatroon bij naar meer onzekere of gevaarlijke migraties (of besluit op basis van uw ervaring om een bepaalde workflow uit de cloud te houden).
De eerste keer dat u vereisten opmaakt, zult u er niet perfect in zijn. Het is prima om een plan te starten, te denken dat je alles hebt vastgelegd, te gaan vertrouwen op cloudservices en vervolgens te concluderen dat dingen gewoon niet comfortabel zijn. De grote waarde van je eerste contract is misschien dat je leert wat effectief is. Het is geen schande om al vroeg van aanbieder te veranderen. Veel headline-waardige datalekken treden op wanneer het voor een organisatie routine wordt om goedbedoelde, maar slecht passende normen te "omzeilen". De meeste cloudservices bieden expliciet een proefmaand of zo; verwachten te profiteren van deze "testritten".
Onthoud: hoe duidelijker u begrijpt wat echt belangrijk voor u is, hoe groter de kans dat u het ontvangt. Kort samengevat kunt u de cloudprovider om alles vragen, van mobiele beveiliging en bestandsdeling en back-up van consumentenkwaliteit tot line-of-business (LOB) -functies, inclusief boekhouding, inventaris en enterprise resource planning (ERP). Je weet het beste wat je eigen prioriteiten moeten zijn. Neem niet alleen wat u wordt aangeboden; denk na over wat de meeste winst voor uw bedrijf oplevert.
Ken uw gegevens
Moderne bedrijven erkennen dat hun gegevens specifieke aandacht verdienen. Voor een groot deel kunnen andere bedrijfsonderdelen worden vervangen of uitbesteed. Maar belangrijke gegevens - over klanten, werknemers, processen en eigenschappen - vormen de unieke waarde van een bedrijf.
Daarom moet uw migratieplan in duidelijke en specifieke bewoordingen niet alleen bevatten wat u doet en hoe u het in de cloud gaat doen, maar ook hoe u belangrijke stukken bedrijfsinformatie veilig kunt houden. E-mail is een veel voorkomende belasting om naar de cloud te gaan. Hoewel e-mail vaak rijk is aan bedrijfseigen informatie, is het ook een volwassen technologie en een die de cloud goed levert. Verschillende onafhankelijke analisten hebben geconcludeerd dat het hosten van e-mail in de cloud over het algemeen veiliger is dan het intern beheren van e-mailservices. Als u echter speciale e-mailvereisten heeft (zoals een wettelijke beperking voor opslag in een specifiek rechtsgebied), moet u uw abonnement hierop aanpassen.
Aangepaste programma's die klanttransacties of industriële processen omvatten, vertonen het tegenovergestelde profiel. Er bestaat geen cloudleverancier om uw unieke service te bieden. Aan de andere kant kan zelfs de meest ongewone, private en private software worden uitgevoerd op virtuele machines (VM's) die worden gehuurd vanuit de cloud. Het is mogelijk om gegevensopslag binnen uw organisatie te houden, maar vertrouw op de cloud om op de gegevens te werken. Dit verandert de kapitaaluitgaven (CAPEX) van inkoopservers in een aanpasbare operationele uitgaven (OPEX).
Vraag wat je wilt
Computeractiviteiten zijn grotendeels routine, maar de bedrijfsmodellen om hen heen zijn nog niet volledig gebakken. Sommige delen van de cloud zijn grondig gestandaardiseerd. Elke dag ontvangen bijvoorbeeld duizenden mensen nieuwe, gratis e-mailaccounts van Google, Microsoft, Yahoo, enzovoort. Geen mens komt tussenbeide.
Meer gespecialiseerde cloudservices worden echter meestal ondersteund door ondersteunend personeel. U kunt en moet vragen stellen. Als een bepaalde cloudservice er precies goed uitziet, behalve dat deze geen rapporten in een passend formaat voor uw boekhoudsysteem biedt, neem dan contact op met de provider. Vaak kunnen ze afspraken maken die niet op hun openbare pagina's verschijnen.
Voor een groot deel is de cloudvraag niet: "Moeten we adopteren?" Uw werknemers maken al gebruik van cloudservices, of u zich dat nu realiseert of niet. De meer relevante cloudvraag is: "Welke leverancier past het beste?" Als u operaties moet controleren om te voldoen aan de Health Insurance Portability & Accountability Act (HIPAA) of de Sarbanes-Oxley Act (SOX), zeg dat dan. Als u logboeken van verijdelde inbraakpogingen kunt lezen, vraag er dan om. De meeste providers begrijpen dat goede klanten langdurige relaties aangaan en zullen meewerken aan redelijke verzoeken. Een van de grote voordelen van cloudafhankelijkheid is dat u experts van wereldklasse voor u kunt laten werken. Maak hier het beste van.
Wijs een winnende kampioen toe
Wijs de verantwoordelijkheid voor het succes van uw bedrijf in de cloud toe aan een gekwalificeerde persoon. Een ideale kandidaat moet enkele specifieke kwaliteiten vertonen:
1. Hoge status binnen het bedrijf.
2. Enthousiast over de kansen die de cloud biedt.
3. Gevoelig voor beveiligingsproblemen.
4. Competent in projectmanagement en operaties.
5. Ambitieus (op een goede manier).
Hoewel het onwaarschijnlijk is dat je een kandidaat vindt die aan elke kwalificatie voldoet, is het de moeite waard om een kampioen te identificeren met ten minste twee of drie van deze kenmerken. Een kampioen hoeft geen gecertificeerde cloudbeveiligingsexpert te zijn of zelfs fulltime IT-verantwoordelijkheden te hebben. Enthousiasme en ijver zijn belangrijkere kwaliteiten.
Als een organisatie klein genoeg is, kan de cloudkampioen afkomstig zijn van de financiële of inkoopafdeling, iemand die consultants inschakelt om plannen en auditresultaten te beoordelen. Zoek consultants die hun prestaties duidelijk in zakelijke termen kunnen uitdrukken; dit zijn degenen die in staat zijn om de werklast die ze hebben verlicht te kwantificeren en doorlooptijden die ze hebben verkort, niet alleen modieuze technologieën waarin ze hebben gedobbeld.
Blijf op de hoogte
Iemand die toegewijd is aan uw bedrijf, moet contact houden met uw provider. Bel regelmatig, lees blogs of persberichten van providers en vraag naar nieuwe aanbiedingen. U hebt waarschijnlijk een werknemer die op zoek is naar specials over zeep bijvullen of weet welke kassier bij de bank de herkenning van deposito's kan bespoedigen. Vitale bedrijfsgegevensbeveiliging verdient minstens evenveel aandacht voor detail.
Het hoeft geen verpletterende last te zijn; zelfs slechts een uur per week kan het inzicht in hoe uw provider werkt en wat dit voor u betekent aanzienlijk verbeteren. Aanbieders kunnen vaak training aanbevelen over nieuwe beveiligingsbedreigingen, hoe deze te verminderen, manieren waarop uw bedrijf de cloud beter kan gebruiken (soms tegen lagere kosten!), Veranderingen die waarschijnlijk het komende jaar zullen zijn, en meer. Haal het meeste uit wat een strategische partner zou moeten zijn.
Vertrouw maar verifieer
U moet tot op zekere hoogte op uw provider vertrouwen, maar laat u niet te kwetsbaar. Maak DR-plannen die anticiperen op het verlies van de provider. De details zijn precies afhankelijk van wat de cloud u biedt. DR kan van alles betekenen, van een back-up ZIP-drive uit de lockbox halen tot een hete omschakeling naar een volledig uitgeruste DRaaS-installatie. Goede providers kunnen u helpen met ten minste een deel van de planning, hoewel uw back-up en DR moeten worden beoordeeld door een onafhankelijke consultant.
Moet uw DR-plan een omgekeerd element bevatten? Dit betekent een manier om door te gaan, zelfs als de cloud volledig onbeschikbaar wordt of het internet uiteenvalt? Deze vraag dwaalt te ver in de filosofie voor een kort antwoord, maar wat bedrijven kunnen doen, is expliciete overweging van extreme gebeurtenissen en de kosten verbonden aan verschillende tegenmaatregelen in hun plan opnemen. Uw bedrijf kan een goedkoop DR-plan hebben zonder op internet te vertrouwen en besluiten dat bescherming de moeite waard is. De meeste organisaties werken relatief primitieve DR-plannen uit en geven prioriteit aan dagelijkse activiteiten. Het starten van DR-oefeningen is echter een leerzame en lonende ervaring.
Houd het echt
Wanneer u realistische verwachtingen voor cloudbeveiliging hebt, bent u in de beste positie voor succes. Ja, je kunt terabytes aan opslag kopen in de lokale bigbox-winkel tegen schokkend lage prijzen. Wanneer u uw maandelijkse abonnement voor cloudservices betaalt, onthoud dan dat u niet alleen de waarde van een schijf ontvangt, maar ook een die automatisch wordt geback-upt, geventileerd, op een snelle verbinding met een internet-backbone draait en wordt geschrobd en gecontroleerd op beveiligingsrisico's. De hardware maakt een minderheid uit van de kosten van bijna alle cloudaanbiedingen.
Zelfs nadat u naar de cloud bent verhuisd, blijven uw grootste computerbeveiligingsrisico's intern binnen uw bedrijf: diefstal en andere misdaden van werknemers. Uw provider kan en moet u helpen de activiteiten te volgen, maar uiteindelijk zal uw eigen bedrijfscultuur het lot van uw reis door de cloud bepalen. Neem deze acht stappen en uw cloudmigratie zal slagen:
1. Speel om te winnen, hoog te mikken en betere beveiliging, lagere kosten en meer reactievermogen te verwachten.
2. Begrijp uw eigen vereisten en schrijf ze op.
3. Begrijp uw specifiek profiel voor gegevensbeveiliging.
4. Onderhandel verstandig en vraag om wat u nodig hebt.
5. Wijs een cloudkampioen toe die zal winnen.
6. Blijf op de hoogte.
7. Vertrouw op, maar verifieer tegen verlies van provider.
8. Houd het echt en pas verwachtingen aan.
