Video: Preguntas y respuestas de la entrevista de seguridad en la nube | Computación en la nube | (Noviembre 2024)
La primera regla en esta Guía de seguridad de la nube para pequeñas y medianas empresas (SMB) es que estamos en ello para ganarla. No para sobrevivir, ni para ahorrar suficiente dinero para comprar café, o para seguir a la multitud. Se trata de impulsar la empresa a un nuevo nivel, al mismo tiempo ahorrar dinero y mejorar la seguridad. Si no espera todos esos beneficios de su traslado a la nube, entonces está en el juego equivocado.
Un movimiento hacia la nube es estratégico y rentable. No trate de trasladarse a la nube como una ocurrencia tardía. Ponga buenos trabajadores con experiencia, no un pasante de medio tiempo.
Ya sea que su línea principal de negocios sean piezas de automóviles, planificación de eventos o incluso software de computadora, el objetivo de este libro de jugadas es ayudarlo a enfocarse en su visión central. En gran medida, las operaciones informáticas son solo una distracción. El aprovisionamiento de TI ahora es lo suficientemente rutinario como para que sea mejor confiarlo a un proveedor externo en lugar de que sus propios empleados intenten hacerlo todo. Con las opciones correctas en la nube, su organización ahorrará gastos de capital, obtendrá seguridad operativa y será más ágil y receptivo.
Una oportunidad para conocerte a ti mismo
Las empresas tienen razón en preocuparse por la seguridad en la nube. Los costos directos e indirectos de las recientes violaciones de datos en compañías como Anthem, Ashley Madison, CVS, Experian, Scottrade, Target y Trump Hotel Collection son simplemente asombrosos. Las fallas no resultaron específicamente de vulnerabilidades en la nube; fueron desgloses en las políticas fundamentales y la ejecución dentro de las empresas.
"Cloud" cubre una inmensa variedad de ofertas. Para una compañía, podría ser un cambio de juego adoptar un servicio en línea simple para reemplazar las tarjetas de tiempo de los trabajadores con una herramienta en red. Otra compañía podría decidir que necesita nada menos que un centro de datos como servicio (DCaaS) completo, al que se accede a través de escritorios como servicio (DaaS) y reforzado por la recuperación ante desastres como servicio (DRaaS), con todo movido fuera de las instalaciones. Una tercera empresa podría saltar completamente a la nube, pero una privada en una ubicación física que cumpla con las regulaciones legales.
Los detalles de seguridad en la nube diferirán entre estos ejemplos, pero muchos de los fundamentos son idénticos:
1. Dé a cada empleado su propio inicio de sesión.
2. Cree un procedimiento estándar para retirar cuentas cuando los empleados se vayan.
3. Proporcione instrucciones de administración por escrito para el acceso de respaldo y soporte en la nube.
4. Cree relaciones comerciales entre su organización y el proveedor de seguridad en la nube antes de que ocurra una emergencia.
5. Usted y su proveedor deben tener un acuerdo explícito y comprensible sobre las expectativas del acuerdo de nivel de servicio (SLA), incluida la frecuencia de interrupción y un plan de acción de interrupción.
Del mismo modo que un plan comercial formal ayuda a aprovechar al máximo su organización como un todo, vale la pena tener una escritura explícita de requisitos de TI que cubra los flujos de trabajo, fortalezas y debilidades. Un aspecto importante de la planificación es entrevistar a los propietarios clave de la carga de trabajo dentro de su organización para confirmar detalles precisos de cómo su negocio hace negocios. Asegúrese de migrar las verdaderas cargas de trabajo, no lo que recuerda que podrían haber sido en el pasado.
Además, planifique una secuencia explícita para su migración. Busque fruta baja; migre primero flujos de trabajo fácilmente transportables, de bajo riesgo y de alto retorno. Aprenda de las primeras migraciones y actualice su patrón de migración a medida que avanza hacia migraciones más inciertas o peligrosas (o decida, según su experiencia, mantener un flujo de trabajo particular fuera de la nube).
La primera vez que redacte los requisitos, no será perfecto para ello. Está bien comenzar un plan, pensar que lo ha capturado todo, comenzar a depender de los servicios en la nube y luego concluir que las cosas simplemente no son cómodas. El gran valor de su primer contrato podría ser aprender lo que es efectivo. No hay vergüenza en cambiar de proveedor desde el principio. Muchas infracciones de datos dignas de titulares ocurren cuando se convierte en rutina para una organización "evitar" estándares bien intencionados pero que no encajan. La mayoría de los servicios en la nube proporcionan explícitamente un mes de prueba más o menos; Espere aprovechar estas "pruebas de manejo".
Recuerde: cuanto más claramente entienda lo que realmente le importa, más probabilidades tendrá de recibirlo. En resumen, puede solicitarle al proveedor de la nube todo, desde seguridad móvil y uso compartido de archivos y copias de seguridad de nivel de consumidor, hasta funciones de línea de negocio (LOB) que incluyen contabilidad, inventario y planificación de recursos empresariales (ERP). Usted sabe mejor cuáles deberían ser sus propias prioridades. No solo tomes lo que te ofrecen; piensa en lo que más beneficia a tu negocio.
Conoce tus datos
Las empresas modernas reconocen que sus datos merecen una atención específica. En gran medida, otras partes de un negocio pueden ser reemplazadas o subcontratadas. Pero los datos clave, sobre clientes, empleados, procesos y propiedades, forman el valor único de una empresa.
Por lo tanto, su plan de migración debe incluir, en términos claros y específicos, no solo lo que hace y cómo lo hará en la nube, sino cómo mantendrá seguras las piezas clave de la información de la compañía. El correo electrónico es una carga común para moverse a la nube. Si bien el correo electrónico a menudo es rico en información patentada, también es una tecnología madura y una que la nube ofrece bien. Varios analistas independientes han concluido que hospedar el correo electrónico en la nube es generalmente más seguro que administrar el servicio de correo electrónico internamente. Sin embargo, si tiene requisitos especiales de correo electrónico (como una restricción legal para el almacenamiento en una jurisdicción específica), deberá ajustar su plan para tenerlo en cuenta.
Los programas personalizados que incorporan transacciones de clientes o procesos industriales presentan el perfil opuesto. No existe un proveedor de la nube para proporcionar su servicio único. Por otro lado, incluso el software más inusual, propietario y privado puede ejecutarse en máquinas virtuales (VM) alquiladas desde la nube. Es posible mantener el almacenamiento de datos dentro de su organización pero confiar en la nube para operar con los datos. Esto convierte el gasto de capital (CAPEX) de los servidores de compra en un gasto operativo ajustable (OPEX).
Pide lo que quieras
Las operaciones informáticas son en gran parte rutinarias, pero los modelos de negocio que las rodean aún no están completamente preparados. Algunas partes de la nube están completamente estandarizadas. Todos los días, por ejemplo, miles de personas reciben nuevas cuentas de correo electrónico sin cargo de Google, Microsoft, Yahoo, etc. Ningún humano interviene.
Sin embargo, los servicios en la nube más especializados suelen estar respaldados por un equipo de soporte. Puedes y debes hacer preguntas. Si un servicio en la nube en particular le parece adecuado, excepto que no proporciona informes en un formato que coincida con su sistema de contabilidad, comuníquelo con el proveedor. A menudo, pueden hacer arreglos que no aparecen en sus páginas públicas.
En gran medida, la pregunta de la nube no es "¿deberíamos adoptar?" Sus empleados ya están utilizando servicios en la nube, se dé cuenta o no. La pregunta en la nube más pertinente es: "¿Qué proveedor se ajusta mejor?" Si necesita auditar operaciones para cumplir con la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) o la Ley Sarbanes-Oxley (SOX), dígalo. Si leer registros de intentos de intrusión frustrados le da consuelo, solicítelos. La mayoría de los proveedores entienden que los buenos clientes forman relaciones a largo plazo y cooperarán con solicitudes razonables. Una de las grandes ventajas de la dependencia de la nube es que puede tener expertos de clase mundial trabajando para usted. Aprovecha al máximo esto.
Asigna un campeón ganador
Asigne la responsabilidad del éxito de su empresa en la nube a alguien calificado. Un candidato ideal debe exhibir algunas cualidades específicas:
1. Alto estatus dentro de la empresa.
2. Entusiasmado con las oportunidades que presenta la nube.
3. Sensible a las preocupaciones de seguridad.
4. Competente en la gestión de proyectos y operaciones.
5. Ambicioso (en el buen sentido).
Si bien es poco probable que encuentre un candidato que cumpla con todos los requisitos, vale la pena identificar a un campeón con al menos dos o tres de estos atributos. Un campeón no necesita ser un experto certificado en seguridad en la nube o incluso tener responsabilidades de TI a tiempo completo. El entusiasmo y la diligencia son cualidades más importantes.
Si una organización es lo suficientemente pequeña, el defensor de la nube puede provenir del departamento de finanzas o compras, alguien que contrata consultores para revisar los planes y auditar los resultados. Busque consultores que puedan expresar claramente sus logros en términos comerciales; Estos son los capaces de cuantificar las cargas de trabajo que han aliviado y los tiempos de proceso que redujeron, no solo las tecnologías de moda en las que han incursionado.
Mantente en contacto
Alguien dedicado a su empresa debe mantenerse en contacto con su proveedor. Llame periódicamente, lea los blogs de proveedores o comunicados de prensa, y pregunte sobre nuevas ofertas. Probablemente tenga un empleado que se esfuerce por encontrar ofertas especiales en jabón de reposición o sepa qué cajero en el banco puede acelerar el reconocimiento de depósitos. La seguridad vital de los datos de la compañía merece al menos tanta atención al detalle.
No tiene que ser una carga aplastante; incluso solo una hora a la semana puede mejorar drásticamente la comprensión de cómo opera su proveedor y lo que significa para usted. Los proveedores a menudo pueden sugerir capacitación sobre nuevas amenazas de seguridad, cómo mitigarlas, formas en que su empresa puede usar mejor la nube (¡a veces a un costo más bajo!), Cambios que son probables durante el próximo año y más. Aproveche al máximo lo que debería ser un socio estratégico.
Confiar pero verificar
Debe confiar en su proveedor hasta cierto punto, pero no dejarse excesivamente vulnerable. Haga planes de DR que anticipen la pérdida del proveedor. Los detalles dependen exactamente de lo que le proporcione la nube. DR podría significar cualquier cosa, desde extraer una unidad ZIP de respaldo de la caja de seguridad hasta una conmutación en caliente a una instalación DRaaS totalmente equipada. Los buenos proveedores pueden ayudarlo con al menos parte de la planificación, aunque su respaldo y DR deben ser revisados por un consultor independiente.
¿Debería su plan DR incluir un elemento inverso? Es decir, ¿una manera de continuar incluso si la nube no está disponible o Internet se desmorona? Esta pregunta va demasiado lejos en la filosofía para una respuesta breve, pero lo que las empresas pueden hacer es incluir una consideración explícita de eventos extremos y los costos asociados con diferentes contramedidas en su plan. Su compañía podría tener un plan económico de recuperación ante desastres sin depender de Internet y decidir que la protección vale la pena. La mayoría de las organizaciones elaboran planes de DR relativamente primitivos y priorizan las operaciones diarias. Sin embargo, al menos comenzar los ejercicios de DR es una experiencia educativa y gratificante.
Se realista
Cuando tiene expectativas realistas de seguridad en la nube, está en la mejor posición para el éxito. Sí, puedes comprar terabytes de almacenamiento en la gran tienda local a precios sorprendentemente bajos. Cuando pague su suscripción mensual por servicios en la nube, recuerde que no solo está recibiendo el valor de un disco, sino uno que se respalda, ventila, ejecuta automáticamente en una conexión de alta velocidad a una red troncal de Internet, y frega y supervisa en busca de riesgos de seguridad. El hardware representa una minoría del gasto de casi todas las ofertas en la nube.
Incluso después de mudarse a la nube, sus mayores amenazas a la seguridad informática seguirán siendo internas a su empresa: robos y otros delitos de los empleados. Su proveedor puede y debe ayudarlo a monitorear las operaciones, pero, en última instancia, la cultura de su propia empresa determinará gran parte del destino de su viaje a través de la nube. Siga estos ocho pasos y su migración a la nube tendrá éxito:
1. Juegue para ganar, apunte alto y espere una mayor seguridad, menor costo y más capacidad de respuesta.
2. Comprenda sus propios requisitos y póngalos por escrito.
3. Comprenda su perfil de seguridad de datos específico.
4. Negocie sabiamente y pida lo que necesita.
5. Asigna un campeón de la nube que gane.
6. Mantente en contacto.
7. Confíe pero verifique para asegurarse contra la pérdida del proveedor.
8. Mantenlo real y ajusta las expectativas.
