Если вы переходите в облако, вы должны тщательно изучить протоколы безопасности выбранного вами поставщика. Независимо от того, сколько вашего цифрового присутствия находится в облаке, вы должны убедиться, что ваш поставщик услуг имеет лучшие меры безопасности для защиты своей инфраструктуры от текущей среды киберугроз.
Согласно Национальному институту стандартов и технологий (NIST), облачные вычисления представляют собой «модель для обеспечения повсеместного, удобного сетевого доступа по требованию к общему пулу настраиваемых вычислительных ресурсов (например, сетей, серверов, хранилищ, приложений, и услуги), которые могут быть быстро предоставлены и выпущены с минимальными усилиями руководства или взаимодействия с поставщиком услуг ».
$config[code] not foundХотя это повсеместное подключение к ресурсам и делает облачные вычисления такими удобными, это также делает такие системы потенциально уязвимыми для атак. Поэтому облачный провайдер должен рассматривать вопрос безопасности как один из наиболее важных компонентов своей общей деятельности.
Вопросы по кибербезопасности, которые следует задать поставщику облачных услуг
Предполагая, что поставщик услуг проверил все остальные поля для ваших потребностей облачных вычислений, вот несколько важных вопросов безопасности, которые вы должны задать, чтобы завершить процесс проверки.
Какие типы центров обработки данных вы используете и сколько?
Тип центра обработки данных (уровень 1, 2, 3, 4) будет определять соглашение об уровне обслуживания (SLA), которое он может предоставить. Центры обработки данных уровня 4 являются наиболее безопасными и требуют отказоустойчивого оборудования, включая серверы, хранилище, каналы связи, отопление, чиллеры и многое другое. Гарантия доступности для уровня 4 составляет 99,995 процента времени безотказной работы, за которым следуют 99,982 процента безотказной работы для уровня 3, 99,749 процентов безотказной работы для уровня 2 и 99,671 процента безотказной работы для уровня 1.
Помимо типов, узнайте, сколько центров обработки данных использует компания. Чем больше у него избыточностей, тем больше у вас шансов для обеспечения безопасности ваших данных и быстрого восстановления.
Какие сертификаты вы сейчас имеете для своих центров обработки данных?
Возможно, вашему бизнесу необходимо соблюдать Закон о мобильности и подотчетности медицинского страхования (HIPAA), Закон Сарбейнса-Оксли (SOX), Стандарты безопасности данных индустрии платежных карт (PCI DSS) или другие нормативные акты. Убедитесь, что выбранный вами поставщик услуг имеет сертификаты соответствия в областях, важных для вашего бизнеса. Попросите посмотреть сертификаты и аудиты соответствия.
Насколько надежна ваша сетевая инфраструктура?
В дополнение к безопасности вам нужно спросить о надежности связи между вами и сетью поставщика. Какова его доступность, пропускная способность (например, пропускная способность), задержка и потеря пакетов? Зная ответы на эти вопросы, вы узнаете, как быстро вы сможете получить доступ к нужным вам ресурсам, когда они вам понадобятся.
Какой у вас план аварийного восстановления?
У вашего поставщика услуг должен быть план аварийного восстановления, предназначенный для минимизации времени простоя его операций. Обязательно спросите, что это за план. Это также позволит вам узнать, где компания хранит ваши данные в случае нарушения или крупной катастрофы.
Есть ли у вас официальные письменные политики информационной безопасности?
Если у поставщика услуг есть формализованные политики безопасности, он должен иметь возможность выписать выписанную версию этих политик для проверки. Хорошо написанная политика, подкрепленная качественными соглашениями об уровне обслуживания, является хорошим индикатором зрелости программы безопасности.
Что произойдет, если бизнес сворачивается или сливается с другой компанией?
Попросите письменный план, касающийся платежеспособности компании, вне зависимости от того, выходит ли она из бизнеса или является ли она частью слияния и поглощения. Это включает в себя расписание для передачи всех ваших данных. Что касается передачи данных, вам также следует спросить о политике перехода на другого поставщика.
Как ваша физическая безопасность?
Центр обработки данных настолько хорош, насколько он физически защищен. Если кто-то может легко получить доступ к центру, это означает, что серверы могут быть скомпрометированы. Спросите о типе физической защиты в центрах обработки данных, которые использует ваш поставщик услуг. Эта безопасность должна быть на месте 365 дней в году.
Как утилизировать устаревшее оборудование и неисправные устройства хранения данных?
Этот вопрос может быть упущен из виду, но помните, что вы несете ответственность за данные, предоставленные вам вашими клиентами. Процесс утилизации должен быть тщательным и абсолютным. Это означает, что ни у кого нет шансов использовать выброшенные продукты для извлечения данных из них.
Некоторые из других вопросов, которые вы можете задать здесь, могут включать:
- Каковы ваши политики шифрования?
- Насколько изолированы мои данные?
- Как отслеживаются и документируются действия в аккаунте?
- Могу ли я посетить центр обработки данных?
- Должны ли сторонние внешние подрядчики соблюдать правила и соглашения с клиентами?
Конечно, это не единственные вопросы, которые вы можете задать, поэтому будьте настолько внимательны, насколько это необходимо для обеспечения безопасности ваших данных.
Это ваша репутация на линии
В зависимости от того, сколько ваших операций вы перенесли в облако, поставщик облачных услуг будет иметь ключевые операционные активы вашей организации. Если по какой-либо причине поставщик не может предоставить услугу, как было обещано, ваша репутация находится под угрозой.Поэтому не стесняйтесь задавать любые вопросы, которые могут поставить под угрозу то, над чем вы так усердно работали.
Чтобы узнать больше о том, как облачные сервисы могут помочь вашему бизнесу, свяжитесь с Meylah сегодня.
Фото через Shutterstock
Подробнее в: Спонсор 1
