Smb-molnsäkerhetsspelbok

Den första regeln i denna lilla för små och medelstora företag (Cloud Security Playbook) är att vi är i den för att vinna den. Inte att komma förbi eller spara tillräckligt små kontanter för att köpa kaffe eller för att följa publiken. Det handlar om att öka företaget till en ny nivå, samtidigt spara pengar och förbättra säkerheten. Om du inte förväntar dig alla dessa fördelar från din flytt till molnet, är du i fel spel.

En övergång till molnet är strategisk och lönsam. Behandla inte flytta till molnet som en eftertanke. Sätt bra, erfarna arbetare på det, inte en deltid praktikant.

Oavsett om din huvudsakliga verksamhet är bildelar, evenemangsplanering eller till och med datorprogramvara, är målet med denna spellista att hjälpa dig att fokusera på din centrala vision. I stor utsträckning är datoroperationer bara en distraktion. IT-tillhandahållande är nu tillräckligt rutinmässigt så att du är bättre på att lita på det till en extern leverantör snarare än att låta dina egna personal försöka göra allt. Med rätt molnval sparar din organisation kapitalutgifter, får operativ säkerhet och blir mer kvick och lyhörd.

En möjlighet att känna dig själv

Företag har rätt att vara oroliga för molnsäkerhet. De direkta och indirekta kostnaderna för nyligen inträffade data hos företag som Anthem, Ashley Madison, CVS, Experian, Scottrade, Target och Trump Hotel Collection är helt enkelt häpnadsväckande. Felen beror inte specifikt på molnsårbarheter; de var fördelningar i grundläggande policyer och genomförande inom företagen.

"Cloud" täcker ett enormt utbud av erbjudanden. För ett företag kan det vara en spelväxlare att anta en enkel onlinetjänst för att ersätta arbetarnas tidskort med ett nätverksverktyg. Ett annat företag kan bestämma att det behöver inget mindre än en hel datacenter-som-en-tjänst (DCaaS), åtkomst via stationära datorer-som-en-tjänst (DaaS) och förstärkt av katastrof-återhämtning-som-en-tjänst (DRaaS), med allt flyttat från lokalerna. Ett tredje företag kanske hoppar fullt ut i molnet - men ett privat företag på en fysisk plats som följer lagbestämmelser.

Molnsäkerhetsdetaljer kommer att skilja sig mellan dessa exempel, men många av de grundläggande är identiska:

1. Ge varje anställd sin egen inloggning.

2. Skapa ett standardförfarande för att lämna konton när anställda lämnar.

3. Ge skriftliga admininstruktioner för säkerhetskopiering och molnsupport.

4. Skapa affärsrelationer mellan din organisation och leverantören av molnsäkerhet innan en nödsituation inträffar.

5. Du och din leverantör bör ha en förståelig, uttrycklig överenskommelse om SLA-förväntningar på servicenivå, inklusive driftsfrekvens och en handlingsplan för avbrott.

Precis som en formell affärsplan hjälper till att få ut mesta möjliga av din organisation som helhet, lönar det sig att ha en uttrycklig IT-kravskrivning som täcker arbetsflöden, styrkor och svagheter. En viktig planeringsaspekt är att intervjua nyckelarbetare i din organisation för att bekräfta exakta detaljer om hur ditt företag gör sina affärer. Se till att du migrerar de verkliga arbetsbelastningarna, inte vad du kommer ihåg att de kan ha varit tidigare.

Planera också en tydlig sekvens för din migrering. Leta efter låghängande frukt; migrera lätt transportabla, låg risk och högavkastning arbetsflöden först. Lär dig av tidiga migrationer och uppdatera ditt migreringsmönster när du går till mer osäkra eller farliga migrationer (eller beslutar, utifrån din erfarenhet, att hålla ett visst arbetsflöde ur molnet).

Första gången du skriver upp krav kommer du inte att vara perfekt på det. Det är okej att starta en plan, tror att du har tagit det hela, börja vara beroende av molntjänster och sedan dra slutsatsen att saker bara inte är bekväma. Det stora värdet av ditt första kontrakt kan vara att lära sig vad som är effektivt. Det är ingen skam att byta leverantörer tidigt. Många intressanta dataöverträdelser inträffar när det blir rutin för en organisation att "arbeta runt" välmenade men dåligt anpassade standarder. De flesta molntjänster tillhandahåller uttryckligen en provmånad eller så; förväntar sig att dra nytta av dessa "provkörningar."

Kom ihåg: Ju tydligare du förstår vad som verkligen betyder för dig, desto mer sannolikt är det att du får det. I sammandraget kan du be molnleverantören om allt från mobilsäkerhet och fildelning och säkerhetskopiering av konsumentkvalitet till LOB-funktioner inklusive redovisning, lager och företagsresursplanering (ERP). Du vet bäst vad dina egna prioriteringar bör vara. Ta inte bara det du erbjuds; tänk igenom vad som tjänar ditt företag mest.

Vet dina data

Moderna företag erkänner att deras data förtjänar särskild uppmärksamhet. I stor utsträckning kan andra delar av ett företag ersättas eller läggas ut. Men nyckeldata - om kunder, anställda, processer och egenskaper - utgör ett företags unika värde.

Därför bör din migrationsplan inkludera, i tydliga och specifika termer, inte bara vad du gör och hur du gör det i molnet, utan hur du kommer att hålla viktiga delar av företagsinformationen säkra. E-post är en vanlig belastning för att flytta till molnet. Medan e-post ofta är rik på egen information, är det också en mogen teknik och molnet levererar bra. Flera oberoende analytiker har kommit fram till att värd e-post i molnet generellt är säkrare än att hantera e-posttjänster internt. Men om du har särskilda e-postkrav (till exempel en laglig begränsning för lagring i en specifik jurisdiktion) måste du justera din plan för att redovisa detta.

Anpassade program som omfattar kundtransaktioner eller industriella processer visar motsatt profil. Det finns ingen molnleverantör som tillhandahåller din unika tjänst. Å andra sidan kan även den mest ovanliga, egenutvecklade och privata programvaran köras på virtuella maskiner (VM) hyrda från molnet. Det är möjligt att hålla datalagring i din organisation men lita på att molnet fungerar på data. Detta förvandlar kapitalutgifterna (CAPEX) för att köpa servrar till en justerbar driftsutgift (OPEX).

Fråga efter vad du vill

Datorverksamhet är till stor del rutinmässigt men affärsmodellerna kring dem är ännu inte helt bakade. Vissa delar av molnet är noggrant standardiserade. Exempelvis får tusentals människor varje dag nya e-postkonton utan kostnad från Google, Microsoft, Yahoo och så vidare. Ingen människa ingriper.

Mer specialiserade molntjänster stöds dock vanligtvis av en supportpersonal. Du kan och bör ställa frågor. Om en viss molntjänst ser bra ut för dig, förutom att den inte tillhandahåller rapporter i ett matchande format till ditt bokföringssystem, ta upp den med leverantören. Ofta kan de ordna arrangemang som inte visas på deras offentliga sidor.

I stor utsträckning är molnfrågan inte, "Bör vi anta?" Dina anställda använder redan molntjänster oavsett om du inser det eller inte. Den mer relevanta molnfrågan är "Vilken leverantör passar bäst?" Om du behöver granska operationer för att följa lagen om hälsoförsäkringsportabilitet (HIPAA) eller Sarbanes-Oxley Act (SOX), säg det. Om läsning av loggar över förorenade intrångsförsök ger dig tröst, be om dem. De flesta leverantörer förstår att goda kunder bildar långsiktiga relationer och de kommer att samarbeta med rimliga önskemål. En av de stora fördelarna med molnberoende är att du kan ha experter i världsklass som arbetar för dig. Få ut det mesta av detta.

Tilldela en vinnande mästare

Tilldela någon som är kvalificerad ansvaret för ditt företags framgång i molnet. En ideal kandidat bör visa några specifika egenskaper:

1. Hög status inom företaget.

2. Entusiastisk över de möjligheter molnet erbjuder.

3. Känslig för säkerhetsproblem.

4. Kompetent vid projektledning och drift.

5. Ambisiös (på ett bra sätt).

Det är osannolikt att du hittar en kandidat som uppfyller alla kvalifikationer, men det är värt ansträngningen att identifiera en mästare med minst två eller tre av dessa attribut. En mästare behöver inte vara en certifierad molnsäkerhetsekspert eller ens ha heltids IT-ansvar. Entusiasm och flit är viktigare egenskaper.

Om en organisation är tillräckligt liten kan molnmästaren komma från finans- eller inköpsavdelningen, någon som tar in konsulter för att granska planer och granskningsresultat. Leta efter konsulter som tydligt kan uttrycka sina prestationer i affärsmässiga termer; det här är de som kan kvantifiera arbetsbelastningen som de har avlastat och bearbeta tider som de skurit ner, inte bara moderna tekniker där de har fördubblat.

Hålla kontakten

Någon som ägnas åt ditt företag ska hålla kontakten med din leverantör. Ring med jämna mellanrum, läs alla leverantörsbloggar eller pressmeddelanden och fråga om nya erbjudanden. Du har förmodligen en anställd som gör en poäng med att hitta specialerbjudanden på påfyllningssåp eller vet vilken kassör i banken som kan påskynda erkännande av insättningar. Vital företags datasäkerhet förtjänar minst lika mycket uppmärksamhet på detaljer.

Det behöver inte vara en krossande börda; till och med bara en timme i veckan kan dramatiskt förbättra insikten i hur din leverantör fungerar och vad den betyder för dig. Leverantörer kan ofta föreslå utbildning om nya säkerhetshot, hur man kan mildra dem, hur ditt företag bättre kan använda molnet (ibland till lägre kostnad!), Förändringar som troligen kommer under det kommande året och mer. Få ut det mesta av det som borde vara en strategisk partner.

Lita på men verifiera

Du måste lita på din leverantör i viss utsträckning men lämna dig inte alltför sårbar. Gör DR-planer som förutser leverantörens förlust. Detaljerna beror exakt på vad molnet ger dig. DR kan betyda allt från att dra en backup ZIP-enhet ur lockboxen till en varm övergång till en fullt utrustad DRaaS-installation. Bra leverantörer kan hjälpa dig med åtminstone en del av planeringen, även om din backup och DR borde granskas av en oberoende konsult.

Bör din DR-plan inkludera ett omvänd element? Betydelse, ett sätt att fortsätta även om molnet blir helt otillgängligt eller Internet faller isär? Denna fråga strömmar för långt in i filosofin för att få ett kort svar, men vad företag kan göra är att inkludera ett uttryckligt hänsyn till extrema händelser och kostnaderna för olika motåtgärder i sin plan. Ditt företag kan ha en billig DR-plan utan att förlita sig på Internet och bestämma att skydd är värt. De flesta organisationer utarbetar relativt primitiva DR-planer och prioriterar daglig drift. Men åtminstone att starta DR-övningar är en pedagogisk och givande upplevelse.

Håll det verkligt

När du har realistiska molnsäkerhetsförväntningar är du i bästa position för framgång. Ja, du kan köpa terabyte lagringsutrymme i den lokala storbox-butiken till chockerande låga priser. När du betalar ditt månatliga prenumeration för molntjänster, kom ihåg att du inte bara får värdet på en disk utan en som automatiskt säkerhetskopieras, ventileras, körs på en höghastighetsanslutning till en Internet-ryggrad och skuras och övervakas av säkerhetsrisker. Hårdvaran utgör en minoritet av kostnaden för nästan alla molntjänster.

Även efter att du flyttat till molnet kommer dina största datasäkerhetshot att förbli interna för ditt företag: stölder och andra anställdas brott. Din leverantör kan och borde hjälpa dig att övervaka verksamheten, men i slutändan kommer din egen företagskultur att avgöra mycket av ödet för din resa genom molnet. Ta dessa åtta steg så kommer din molnmigrering att lyckas:

1. Spela för att vinna, sikta högt och förvänta dig bättre säkerhet, lägre kostnader och mer lyhördhet.

2. Förstå dina egna krav och skriv dem skriftligt.

3. Förstå din specifika datasäkerhetsprofil.

4. Förhandla klokt och be om vad du behöver.

5. Tilldela en molnmästare som vinner.

6. Håll kontakten.

7. Lita på men verifiera för att säkerställa att leverantören förlorar.

8. Håll det verkligt och justera förväntningarna.