Das smb Cloud-Sicherheits-Playbook

Die erste Regel in diesem Cloud Security Playbook für kleine bis mittelständische Unternehmen (SMB) ist, dass wir es schaffen, es zu gewinnen. Nicht durchkommen oder genug Kleingeld sparen, um Kaffee zu kaufen oder der Menge zu folgen. Es geht darum, das Unternehmen auf ein neues Niveau zu heben, gleichzeitig Geld zu sparen und die Sicherheit zu erhöhen. Wenn Sie nicht alle diese Vorteile von Ihrem Wechsel in die Cloud erwarten, sind Sie im falschen Spiel.

Ein Wechsel in die Cloud ist strategisch und rentabel. Betrachten Sie den Wechsel in die Cloud nicht als einen nachträglichen Gedanken. Setzen Sie gute, erfahrene Arbeitskräfte ein, keine Teilzeitpraktikanten.

Egal, ob Ihr Hauptgeschäftsbereich Autoteile, Eventplanung oder sogar Computersoftware ist, das Ziel dieses Spielbuchs ist es, Sie dabei zu unterstützen, sich auf Ihre zentrale Vision zu konzentrieren. Computeroperationen sind größtenteils nur eine Ablenkung. IT-Provisioning ist mittlerweile Routine genug, dass Sie es besser einem externen Anbieter anvertrauen, als Ihre eigenen Mitarbeiter zu beauftragen, alles zu erledigen. Mit den richtigen Cloud-Optionen spart Ihr Unternehmen Kapitalkosten, gewinnt an Betriebssicherheit und ist flexibler und reaktionsschneller.

Eine Gelegenheit, sich selbst zu kennen

Unternehmen sind zu Recht besorgt über die Cloud-Sicherheit. Die direkten und indirekten Kosten der jüngsten Datenschutzverletzungen bei Unternehmen wie Anthem, Ashley Madison, CVS, Experian, Scottrade, Target und Trump Hotel Collection sind schlicht und ergreifend. Die Ausfälle waren nicht speziell auf Cloud-Schwachstellen zurückzuführen. es handelte sich um Zusammenbrüche in der grundsätzlichen Politik und Ausführung innerhalb der Unternehmen.

"Cloud" deckt eine enorme Bandbreite an Angeboten ab. Für ein Unternehmen ist es möglicherweise ein Umbruch, einen einfachen Onlinedienst einzuführen, um die Zeitkarten der Mitarbeiter durch ein vernetztes Tool zu ersetzen. Ein anderes Unternehmen könnte entscheiden, dass es nicht weniger als ein gesamtes Rechenzentrum als Dienst (DCaaS) benötigt, auf das über Desktops als Dienst (DaaS) zugegriffen wird und das durch Disaster Recovery als Dienst (Disaster Recovery als Dienst) verstärkt wird. DRaaS), wobei alles außerhalb des Firmengeländes verlegt wurde. Ein drittes Unternehmen springt möglicherweise vollständig in die Cloud - aber ein privates Unternehmen an einem physischen Standort, der den gesetzlichen Bestimmungen entspricht.

Die Details zur Cloud-Sicherheit unterscheiden sich in diesen Beispielen, aber viele der Grundlagen sind identisch:

1. Geben Sie jedem Mitarbeiter ein eigenes Login.

2. Erstellen Sie ein Standardverfahren für das Ausscheiden von Konten, wenn Mitarbeiter aus dem Unternehmen ausscheiden.

3. Geben Sie schriftliche Administratoranweisungen für den Backup-Zugriff und die Cloud-Unterstützung an.

4. Erstellen Sie Geschäftsbeziehungen zwischen Ihrem Unternehmen und dem Cloud-Sicherheitsanbieter, bevor ein Notfall eintritt.

5. Sie und Ihr Provider sollten eine nachvollziehbare, ausdrückliche Vereinbarung über die SLA-Erwartungen (Service Level Agreement) haben, einschließlich der Häufigkeit von Ausfällen und eines Aktionsplans für Ausfälle.

So wie ein formaler Geschäftsplan dazu beiträgt, das Beste aus Ihrem gesamten Unternehmen herauszuholen, zahlt es sich aus, eine explizite Auflistung der IT-Anforderungen zu haben, die Workflows, Stärken und Schwächen abdeckt. Ein wichtiger Planungsaspekt besteht darin, die Verantwortlichen für die Auslastung in Ihrem Unternehmen zu befragen, um genaue Angaben zur Geschäftstätigkeit Ihres Unternehmens zu erhalten. Stellen Sie sicher, dass Sie die tatsächlichen Workloads migrieren, und nicht die Workloads, an die Sie sich erinnern.

Planen Sie außerdem eine explizite Reihenfolge für Ihre Migration. Suchen Sie nach tief hängenden Früchten. migrieren Sie zuerst leicht transportierbare Workflows mit geringem Risiko und hoher Rendite. Lernen Sie aus frühen Migrationen und aktualisieren Sie Ihr Migrationsmuster, wenn Sie zu ungewisseren oder gefährlicheren Migrationen übergehen (oder entscheiden Sie sich aufgrund Ihrer Erfahrung, einen bestimmten Workflow aus der Cloud herauszuhalten).

Wenn Sie zum ersten Mal Anforderungen aufschreiben, werden Sie nicht perfekt darin sein. Es ist in Ordnung, einen Plan zu erstellen, zu glauben, dass Sie alles erfasst haben, von Cloud-Diensten abhängig zu sein und dann zu dem Schluss zu kommen, dass die Dinge einfach nicht bequem sind. Der große Wert Ihres ersten Vertrags könnte sein, zu erfahren, was effektiv ist. Es ist keine Schande, frühzeitig den Anbieter zu wechseln. Viele Überschriften-würdige Datenverletzungen treten auf, wenn es für eine Organisation zur Routine wird, gut gemeinte, aber schlecht passende Standards zu umgehen. Die meisten Cloud-Dienste sehen explizit einen Testmonat vor. Erwarten Sie, diese "Probefahrten" zu nutzen.

Denken Sie daran: Je klarer Sie verstehen, worauf es Ihnen wirklich ankommt, desto wahrscheinlicher ist es, dass Sie es erhalten. In der Zusammenfassung können Sie den Cloud-Anbieter um alles bitten, von mobiler Sicherheit und Dateifreigabe und -sicherung in Consumer-Qualität bis hin zu Branchenfunktionen wie Buchhaltung, Inventarisierung und Warenwirtschaft (ERP). Sie wissen am besten, was Ihre eigenen Prioritäten sein sollten. Nehmen Sie nicht einfach das, was Ihnen angeboten wird. Überlegen Sie, was Ihrem Geschäft am meisten nützt.

Kennen Sie Ihre Daten

Moderne Unternehmen erkennen, dass ihre Daten besondere Aufmerksamkeit verdienen. Zu einem großen Teil können andere Teile eines Unternehmens ersetzt oder ausgelagert werden. Wichtige Daten - über Kunden, Mitarbeiter, Prozesse und Immobilien - bilden jedoch den einzigartigen Wert eines Unternehmens.

Aus diesem Grund sollte Ihr Migrationsplan in klaren und spezifischen Begriffen nicht nur enthalten, was Sie tun und wie Sie dies in der Cloud tun, sondern auch, wie Sie wichtige Unternehmensinformationen sicher aufbewahren. E-Mail ist eine häufige Belastung für den Wechsel in die Cloud. E-Mails sind oft reich an proprietären Informationen, aber auch eine ausgereifte Technologie, die die Cloud gut liefert. Mehrere unabhängige Analysten sind zu dem Schluss gekommen, dass das Hosten von E-Mails in der Cloud im Allgemeinen sicherer ist als die interne Verwaltung des E-Mail-Service. Wenn Sie jedoch spezielle E-Mail-Anforderungen haben (z. B. eine gesetzliche Beschränkung für die Speicherung in einem bestimmten Land), müssen Sie Ihren Plan anpassen, um dies zu berücksichtigen.

Kundenspezifische Programme, die Kundentransaktionen oder industrielle Prozesse verkörpern, weisen das entgegengesetzte Profil auf. Es gibt keinen Cloud-Anbieter, der Ihren einzigartigen Service anbietet. Auf der anderen Seite kann sogar die ungewöhnlichste, proprietärste und privateste Software auf virtuellen Maschinen (VMs) ausgeführt werden, die aus der Cloud gemietet werden. Es ist möglich, die Datenspeicherung in Ihrem Unternehmen beizubehalten, sich jedoch auf die Cloud zu verlassen, um die Daten zu verarbeiten. Dies macht die Investitionsausgaben (CAPEX) von Einkaufsservern zu einstellbaren Betriebsausgaben (OPEX).

Fragen Sie nach dem, was Sie wollen

Computeroperationen sind größtenteils Routine, aber die Geschäftsmodelle, die sie betreffen, sind noch nicht vollständig ausgearbeitet. Einige Teile der Cloud sind vollständig standardisiert. Jeden Tag zum Beispiel erhalten Tausende von Menschen neue, kostenlose E-Mail-Konten von Google, Microsoft, Yahoo und so weiter. Kein Mensch greift ein.

Spezialisierte Cloud-Services werden jedoch in der Regel von Supportmitarbeitern unterstützt. Sie können und sollten Fragen stellen. Wenn ein bestimmter Cloud-Service genau richtig für Sie aussieht, jedoch keine Berichte in einem passenden Format für Ihr Buchhaltungssystem bereitstellt, wenden Sie sich an den Anbieter. Oft können sie Vereinbarungen treffen, die nicht auf ihren öffentlichen Seiten erscheinen.

Zu einem großen Teil lautet die Cloud-Frage nicht: "Sollten wir uns verabschieden?" Ihre Mitarbeiter nutzen bereits Cloud-Services, unabhängig davon, ob Sie dies realisieren oder nicht. Die relevantere Cloud-Frage lautet: "Welcher Anbieter passt am besten?" Wenn Sie Vorgänge prüfen müssen, um die Anforderungen des Health Insurance Portability & Accountability Act (HIPAA) oder des Sarbanes-Oxley Act (SOX) zu erfüllen, sagen Sie dies. Wenn Sie das Lesen von Protokollen über vereitelte Einbruchsversuche trösten, fragen Sie nach. Die meisten Anbieter wissen, dass gute Kunden langfristige Beziehungen eingehen und mit angemessenen Anforderungen zusammenarbeiten. Einer der großen Vorteile des Cloud-Vertrauens besteht darin, dass Sie Experten von Weltklasse für sich arbeiten lassen können. Machen Sie das Beste daraus.

Weisen Sie einen Gewinner zu

Übertragen Sie die Verantwortung für den Erfolg Ihres Unternehmens in der Cloud einer qualifizierten Person. Ein idealer Kandidat sollte einige spezifische Eigenschaften aufweisen:

1. Hoher Status im Unternehmen.

2. Begeistert von den Möglichkeiten, die die Cloud bietet.

3. Sensibel für Sicherheitsbedenken.

4. Kompetent im Projektmanagement und Betrieb.

5. Ehrgeizig (auf gute Weise).

Es ist zwar unwahrscheinlich, dass Sie einen Kandidaten finden, der jede Qualifikation erfüllt, aber es lohnt sich, einen Champion mit mindestens zwei oder drei dieser Eigenschaften zu identifizieren. Ein Champion muss kein zertifizierter Cloud-Sicherheitsexperte sein oder sogar ganztägige IT-Verantwortlichkeiten haben. Begeisterung und Fleiß sind wichtigere Eigenschaften.

Wenn eine Organisation klein genug ist, kann der Cloud-Champion aus der Finanz- oder Einkaufsabteilung kommen, einer Person, die Berater hinzuzieht, um Pläne und Prüfergebnisse zu überprüfen. Suchen Sie nach Beratern, die ihre Leistungen in geschäftlichen Begriffen klar zum Ausdruck bringen können. Dies sind diejenigen, die in der Lage sind, die Arbeitslasten zu quantifizieren, die sie entlastet und die Zeiten, die sie verkürzt haben, verkürzt haben, und nicht nur modische Technologien, mit denen sie sich beschäftigt haben.

In Kontakt bleiben

Jemand, der sich Ihrem Unternehmen widmet, sollte mit Ihrem Anbieter in Kontakt bleiben. Rufen Sie regelmäßig an, lesen Sie die Blogs oder Pressemitteilungen der Anbieter und erkundigen Sie sich nach neuen Angeboten. Wahrscheinlich haben Sie einen Mitarbeiter, der darauf Wert legt, nachzufüllende Seifen zu kaufen, oder der weiß, welcher Kassierer bei der Bank die Erkennung von Einzahlungen beschleunigen kann. Mindestens ebenso viel Liebe zum Detail verdient die unternehmenswichtige Datensicherheit.

Es muss keine drückende Bürde sein; Bereits eine Stunde pro Woche kann den Einblick in die Funktionsweise Ihres Providers und die Bedeutung für Sie erheblich verbessern. Anbieter können häufig Schulungen zu neuen Sicherheitsbedrohungen vorschlagen, wie sie gemindert werden können, wie Ihr Unternehmen die Cloud besser nutzen kann (manchmal zu geringeren Kosten!), Änderungen, die voraussichtlich im Laufe des kommenden Jahres eintreten werden und vieles mehr. Machen Sie das Beste aus dem, was ein strategischer Partner sein sollte.

Vertrauen aber überprüfen

Sie müssen sich in gewissem Maße auf Ihren Provider verlassen, lassen sich aber nicht übermäßig angreifbar. Machen Sie DR-Pläne, die den Verlust des Anbieters vorwegnehmen. Die Details hängen genau davon ab, was die Cloud für Sie bereitstellt. DR kann alles Mögliche bedeuten, vom Herausziehen eines Backup-ZIP-Laufwerks aus dem Schließfach bis hin zur Umstellung auf eine voll ausgestattete DRaaS-Installation. Gute Anbieter können Ihnen zumindest bei einem Teil der Planung behilflich sein, obwohl Ihre Sicherung und DR von einem unabhängigen Berater überprüft werden sollten.

Sollte Ihr DR-Plan ein umgekehrtes Element enthalten? Das heißt, eine Möglichkeit, weiterzumachen, selbst wenn die Cloud gänzlich nicht mehr verfügbar ist oder das Internet auseinanderfällt? Diese Frage reicht für eine kurze Antwort zu weit in die Philosophie hinein. Unternehmen können jedoch auch die explizite Berücksichtigung von Extremereignissen und den mit verschiedenen Gegenmaßnahmen verbundenen Kosten in ihren Plan aufnehmen. Ihr Unternehmen verfügt möglicherweise über einen kostengünstigen DR-Plan, ohne sich auf das Internet zu verlassen, und entscheidet, dass sich der Schutz lohnt. Die meisten Organisationen arbeiten relativ einfache DR-Pläne aus und priorisieren den täglichen Betrieb. Zumindest das Starten von DR-Übungen ist jedoch eine lehrreiche und lohnende Erfahrung.

Halten Sie es real

Wenn Sie realistische Erwartungen an die Cloud-Sicherheit haben, sind Sie in der besten Position für den Erfolg. Ja, Sie können Terabytes an Speicher im örtlichen Big-Box-Laden zu erschreckend niedrigen Preisen kaufen. Denken Sie beim Bezahlen Ihres monatlichen Abonnements für Cloud-Dienste daran, dass Sie nicht nur den Wert einer Festplatte erhalten, sondern auch eine, die automatisch gesichert, belüftet, über eine Hochgeschwindigkeitsverbindung mit einem Internet-Backbone ausgeführt und auf Sicherheitsrisiken überprüft wird. Die Hardware macht eine Minderheit der Kosten für fast alle Cloud-Angebote aus.

Selbst nachdem Sie in die Cloud gewechselt sind, bleiben Ihre größten Bedrohungen für die Computersicherheit unternehmensintern: Diebstähle und andere Straftaten von Mitarbeitern. Ihr Provider kann und sollte Ihnen bei der Überwachung des Betriebs behilflich sein, aber letztendlich bestimmt Ihre eigene Unternehmenskultur einen Großteil des Schicksals Ihrer Reise durch die Cloud. Wenn Sie diese acht Schritte ausführen, ist Ihre Cloud-Migration erfolgreich:

1. Spielen Sie, um zu gewinnen, hoch zu zielen und bessere Sicherheit, geringere Kosten und mehr Reaktionsfähigkeit zu erwarten.

2. Verstehen Sie Ihre eigenen Anforderungen und setzen Sie sie schriftlich um.

3. Verstehen Sie Ihr spezifisches Datensicherheitsprofil.

4. Verhandeln Sie mit Bedacht und fragen Sie, was Sie brauchen.

5. Weisen Sie einen Cloud-Champion zu, der gewinnt.

6. Bleiben Sie in Kontakt.

7. Vertrauen Sie, aber stellen Sie sicher, dass der Provider nicht verloren geht.

8. Halte es real und passe die Erwartungen an.