Video: Performing a Security Assessment of the Cloud using the Risk Management Framework: A Case Study (November 2024)
Prvé pravidlo v tejto malej stredne veľkej (SMB) knihe Cloud Security Playbook je, že sme v nej, aby sme ju získali. Nedostať sa, alebo ušetriť dostatok drobných peňazí na kúpu kávy alebo na sledovanie davu. Ide o pozdvihnutie spoločnosti na novú úroveň, súčasné šetrenie peňazí a zvýšenie bezpečnosti. Ak neočakávate všetky výhody plynúce z vášho presunu do cloudu, ste v nesprávnej hre.
Prechod na cloud je strategický a ziskový. Nepovažujte presun do cloudu za dodatočnú myšlienku. Dajte na to dobrých, skúsených pracovníkov, nie na čiastočný úväzok.
Či už je vaša hlavná oblasť podnikania automobilové súčiastky, plánovanie udalostí alebo dokonca počítačový softvér, cieľom tejto príručky je pomôcť vám zamerať sa na svoju centrálnu víziu. Počítačové operácie sú do veľkej miery iba rozptýlením. Poskytovanie IT je teraz dosť rutinné, že radšej dôverujete externému dodávateľovi, než aby ste sa snažili robiť všetko svojimi vlastnými zamestnancami. So správnym výberom cloudu vaša organizácia ušetrí kapitálové výdavky, získa operatívnu bezpečnosť a bude ústretovejšia a pohotovejšia.
Príležitosť spoznať seba
Spoločnosti majú pravdu v súvislosti s bezpečnosťou cloudu. Priame a nepriame náklady spojené s nedávnymi porušeniami údajov v spoločnostiach ako Anthem, Ashley Madison, CVS, Experian, Scottrade, Target a Trump Hotel Collection sú jednoducho ohromujúce. Poruchy nevyplývali konkrétne z zraniteľností v cloude; boli to zhrnutia základných politík a vykonávania v rámci spoločností.
„Cloud“ predstavuje obrovské množstvo ponúk. Pre jednu spoločnosť by mohlo ísť o zmenu hry prijať jednoduchú online službu, ktorá nahradí časové karty pracovníkov nástrojom zapojeným do siete. Iná spoločnosť by sa mohla rozhodnúť, že nepotrebuje nič iné ako celé dátové centrum ako služba (DCaaS), prístupné prostredníctvom stolových počítačov ako služba (DaaS) a posilnené prostredníctvom obnovy po katastrofe ako služby (DRaaS), so všetkým, čo sa presťahovalo mimo prevádzkových priestorov. Tretia spoločnosť by mohla úplne skočiť do cloudu - ale súkromná na fyzickom mieste, ktoré je v súlade s právnymi predpismi.
Podrobnosti o zabezpečení v cloude sa budú medzi týmito príkladmi líšiť, ale mnoho základných prvkov je identických:
1. Dajte každému zamestnancovi svoje vlastné prihlasovacie údaje.
2. Vytvorte štandardný postup pre vyradenie účtov, keď zamestnanci odchádzajú.
3. Poskytnite písomné pokyny správcu pre prístup k zálohovaniu a podporu cloudu.
4. Pred vznikom núdzovej situácie vytvorte obchodné vzťahy medzi vašou organizáciou a dodávateľom zabezpečenia cloudu.
5. Vy a váš poskytovateľ by ste mali mať zrozumiteľnú a jednoznačnú dohodu o očakávaniach týkajúcich sa dohody o úrovni služieb (SLA) vrátane frekvencie výpadkov a akčného plánu výpadkov.
Rovnako ako formálny obchodný plán pomáha vyťažiť maximum z vašej organizácie ako celku, vyplatí sa, aby sa explicitne zapísali požiadavky na IT pokrývajúce pracovné toky, silné a slabé stránky. Jedným dôležitým aspektom plánovania je rozhovor s kľúčovými vlastníkmi pracovnej záťaže vo vašej organizácii s cieľom potvrdiť presné podrobnosti o tom, ako vaša firma podniká. Uistite sa, že migrujete skutočné pracovné zaťaženie, nie to, čo si pamätáte, že mohlo byť v minulosti.
Naplánujte tiež explicitnú postupnosť pre migráciu. Hľadajte ovocie s nízkym zavesením; najskôr migrujte ľahko prenášateľným pracovným tokom s nízkym rizikom a vysokou návratnosťou. Učte sa zo skorých migrácií a aktualizujte svoj migračný vzorec pri prechode na neistejšiu alebo nebezpečnejšiu migráciu (alebo sa na základe svojich skúseností rozhodnite, že určitý pracovný tok zostane mimo cloud).
Keď prvýkrát píšete požiadavky, nebudete v tom dokonalí. Je v poriadku začať plánovať, myslieť si, že ste všetko zachytili, začať závisieť od cloudových služieb a potom dospieť k záveru, že veci nie sú pohodlné. Veľkou hodnotou vašej prvej zmluvy môže byť naučenie sa toho, čo je efektívne. Neexistuje žiadna hanba pri prepínaní poskytovateľov čoskoro. K mnohým porušeniam hlavných údajov dôjde, keď sa pre organizáciu stáva rutinou „obísť“ dobre určené, ale nesprávne vyhovujúce normy. Väčšina cloudových služieb výslovne stanovuje skúšobný mesiac; očakávať, že využijete tieto „testovacie jazdy“.
Pamätajte: Čím jasnejšie pochopíte, na čom vám skutočne záleží, tým pravdepodobnejšie ho dostanete. V abstraktnej časti môžete poskytovateľa cloudu požiadať o všetko, od mobilného zabezpečenia a zdieľania a zálohovania súborov na úrovni spotrebiteľa, až po obchodné činnosti (LOB) vrátane účtovníctva, inventarizácie a plánovania podnikových zdrojov (ERP). Najlepšie viete, aké by mali byť vaše vlastné priority. Nepoužívajte len to, čo vám ponúka; premýšľajte, čo najviac prinesie vašej firme.
Poznajte svoje údaje
Moderné podniky uznávajú, že si ich údaje zaslúžia osobitnú pozornosť. Do veľkej miery môžu byť iné časti podniku vymenené alebo zadané externe. Kľúčové údaje - o zákazníkoch, zamestnancoch, procesoch a vlastnostiach - však vytvárajú jedinečnú hodnotu spoločnosti.
Váš migračný plán by preto mal jasne a konkrétne zahŕňať nielen to, čo robíte a ako to budete robiť v cloude, ale ako zaistíte bezpečnosť kľúčových informácií o spoločnosti. E-mail je bežná záťaž, ktorá sa presunie do cloudu. Aj keď je e-mail často bohatý na informácie, ktoré sú predmetom priemyselného vlastníctva, je to tiež zrelá technológia a technológia cloud poskytuje dobre. Niekoľko nezávislých analytikov dospelo k záveru, že hosťovanie e-mailov v cloude je vo všeobecnosti bezpečnejšie ako správa e-mailových služieb interne. Ak však máte špeciálne požiadavky na e-mail (napríklad zákonné obmedzenie ukladania v konkrétnej jurisdikcii), bude potrebné, aby ste to prispôsobili svojmu plánu.
Opačné profily sú prispôsobené programy stelesňujúce zákaznícke transakcie alebo priemyselné procesy. Neexistuje žiadny dodávateľ cloudu, ktorý by poskytoval vašu jedinečnú službu. Na druhej strane aj najneobvyklejší, proprietárny a súkromný softvér môže bežať na virtuálnych strojoch (VM) prenajatých z cloudu. Ukladanie údajov je možné vo vašej organizácii zachovať, ale pri práci s údajmi sa môže spoľahnúť na cloud. To premení kapitálové výdavky (CAPEX) na nákup serverov na nastaviteľné prevádzkové výdavky (OPEX).
Opýtajte sa, čo chcete
Počítačové operácie sú zväčša rutinné, ale obchodné modely okolo nich ešte nie sú úplne upečené. Niektoré časti cloudu sú dôkladne štandardizované. Napríklad každý deň dostávajú tisíce ľudí nové, bezplatné e-mailové účty od spoločnosti Google, Microsoft, Yahoo atď. Žiadny ľudský zásah.
Špecializovanejšie cloudové služby sú však zvyčajne podporované podporným personálom. Môžete a mali by ste klásť otázky. Ak konkrétna cloudová služba vyzerá práve pre vás, s výnimkou toho, že vo vašom účtovnom systéme neposkytuje správy v zodpovedajúcom formáte, obráťte sa na poskytovateľa. Často môžu urobiť opatrenia, ktoré sa nezobrazia na ich verejných stránkach.
Otázka cloudu vo veľkej miere nie je: „Mali by sme to prijať?“ Vaši zamestnanci už používajú cloudové služby bez ohľadu na to, či si to uvedomujete alebo nie. Vhodnejšou otázkou v cloude je: „Ktorý predajca sa najlepšie hodí?“ Ak potrebujete vykonať audit operácií v súlade so zákonom o prenosnosti a zodpovednosti v zdravotnom poistení (HIPAA) alebo zákonom o Sarbanes-Oxley (SOX), povedzte to. Ak vám čítanie denníkov narušených pokusov o prienik poskytne pohodlie, požiadajte o ne. Väčšina poskytovateľov chápe, že dobrí zákazníci vytvárajú dlhodobé vzťahy a budú spolupracovať s primeranými požiadavkami. Jednou z veľkých výhod spoliehania sa na cloud je to, že pre vás môžu pracovať experti svetovej úrovne. Využite to maximum.
Priradenie víťazného šampióna
Priraďte zodpovednosť za úspech vašej spoločnosti v cloude niekomu kvalifikovanému. Ideálny kandidát by mal mať niekoľko konkrétnych vlastností:
1. Vysoký štatút spoločnosti.
2. Nadšený z príležitostí, ktoré ponúka cloud.
3. Citlivé na bezpečnostné obavy.
4. Kompetentný v oblasti riadenia projektov a operácií.
5. Ambiciózny (dobrým spôsobom).
Aj keď pravdepodobne nenájdete kandidáta, ktorý spĺňa každú kvalifikáciu, stojí za námahu identifikovať šampióna s najmenej dvoma alebo tromi z týchto atribútov. Majster nemusí byť certifikovaným odborníkom na cloudovú bezpečnosť ani nemusí mať plnú zodpovednosť za IT. Nadšenie a usilovnosť sú dôležitejšie vlastnosti.
Ak je organizácia dosť malá, môže cloudový majster pochádzať z finančného alebo nákupného oddelenia, od niekoho, kto privádza konzultantov, aby preverili plány a výsledky auditu. Vyhľadajte konzultantov, ktorí môžu jasne vyjadriť svoje úspechy z obchodného hľadiska; to sú tí, ktorí sú schopní vyčísliť pracovné zaťaženie, ktoré odbremenili a časy spracovania, ktoré znížili, nielen módne technológie, v ktorých fušovali.
Zostať v kontakte
Niekto venovaný vašej spoločnosti by mal zostať v kontakte s vaším poskytovateľom. Pravidelne volajte, prečítajte si blogy poskytovateľov alebo tlačové správy a pýtajte sa na nové ponuky. Pravdepodobne máte zamestnanca, ktorý má v úmysle nájsť špeciality na doplňovacie mydlo alebo vie, ktorý pokladník v banke môže urýchliť uznanie vkladov. Bezpečnosť údajov spoločnosti Vital si zaslúži aspoň toľko detailov.
Nemusí to byť drvivá záťaž; dokonca len hodinu týždenne sa môže výrazne zlepšiť prehľad o tom, ako váš poskytovateľ funguje a čo pre vás znamená. Poskytovatelia často môžu navrhnúť školenie o nových bezpečnostných hrozbách, o tom, ako ich zmierniť, o spôsoboch, ako môže vaša spoločnosť lepšie využívať cloud (niekedy s nižšími nákladmi!), O zmenách, ktoré sú pravdepodobne v nadchádzajúcom roku a ďalšie. Využite čo najviac by mal byť strategický partner.
Dôveruj ale preveruj
Musíte sa do istej miery spoľahnúť na svojho poskytovateľa, ale nenechajte sa príliš zraniteľní. Vytvorte plány DR, ktoré predpokladajú stratu poskytovateľa. Podrobnosti závisia od toho, čo presne poskytuje cloud. DR môže znamenať čokoľvek od vytiahnutia záložnej ZIP jednotky z uzamykateľného boxu po prepínanie za horúca na plne vybavenú inštaláciu DRaaS. Kvalitní poskytovatelia vám môžu pomôcť aspoň s časťou plánovania, aj keď záloha a DR by mal skontrolovať nezávislý konzultant.
Mal by váš plán DR obsahovať spätný prvok? Znamená to, ako pokračovať, aj keď sa oblak stane úplne nedostupným alebo sa rozpadne internet? Táto otázka sa hýbe príliš ďaleko do filozofie na krátku odpoveď, ale čo spoločnosti môžu urobiť, je zahrnúť do svojho plánu výslovné zváženie extrémnych udalostí a nákladov spojených s rôznymi protiopatreniami. Vaša spoločnosť môže mať lacný plán DR bez spoliehania sa na internet a rozhodnúť, že ochrana sa oplatí. Väčšina organizácií vypracúva relatívne primitívne plány DR a uprednostňuje denné operácie. Aspoň začatie cvičenia DR je však vzdelávací a obohacujúci zážitok.
Nechaj to skutočné
Ak máte realistické očakávania zabezpečenia cloudu, ste v najlepšej pozícii na úspech. Áno, terabajty úložných priestorov si môžete kúpiť v miestnom obchode big-box za šokujúce nízke ceny. Keď platíte mesačné predplatné cloudových služieb, nezabudnite, že dostávate nielen hodnotu disku, ale aj ten, ktorý je automaticky zálohovaný, vetraný, prevádzkovaný na vysokorýchlostnom pripojení k chrbticovej sieti internetu a drhnutý a monitorovaný kvôli bezpečnostným rizikám, Hardvér predstavuje menšinu nákladov takmer všetkých ponúk v cloude.
Aj po prechode do cloudu zostanú vaše najväčšie počítačové bezpečnostné hrozby vo vašej spoločnosti interné: krádeže a iné trestné činy zamestnancov. Váš poskytovateľ vám môže a mal by vám pomôcť monitorovať operácie, ale v konečnom dôsledku bude vaša osud vašej cesty v cloude určovať vaša firemná kultúra. Vykonajte týchto osem krokov a vaša migrácia v cloude bude úspešná:
1. Hrajte, aby ste vyhrali, vysoko zamerali a očakávali lepšiu bezpečnosť, nižšie náklady a väčšiu schopnosť reagovať.
2. Porozumieť svojim požiadavkám a dať ich písomne.
3. Pochopte svoj špecifický profil zabezpečenia údajov.
4. Múdro rokujte a pýtajte sa, čo potrebujete.
5. Priradiť víťaza cloudu, ktorý vyhrá.
6. Zostaňte v kontakte.
7. Dôverujte, ale overte, aby ste predišli strate poskytovateľa.
8. Udržujte ju skutočnú a prispôsobte očakávania.