Vídeo: Informática para Concursos - Cloud/Nuvem - AlfaCon (Novembro 2024)
A primeira regra deste manual de segurança em nuvem para pequenas e médias empresas (SMB) é que estamos nele para vencê-lo. Para não sobreviver, ou economizar dinheiro suficiente para comprar café ou seguir a multidão. Trata-se de elevar a empresa a um novo nível, economizando dinheiro simultaneamente e aumentando a segurança. Se você não espera que todos esses benefícios sejam transferidos para a nuvem, estará no jogo errado.
Uma mudança para a nuvem é estratégica e lucrativa. Não trate a mudança para a nuvem como uma reflexão tardia. Coloque bons funcionários experientes, não um estagiário de meio período.
Se sua principal linha de negócios são peças para automóveis, planejamento de eventos ou mesmo software, o objetivo deste manual é ajudar você a se concentrar em sua visão central. Em grande medida, as operações do computador são apenas uma distração. Agora, o provisionamento de TI é rotineiro o suficiente para você confiar melhor em um fornecedor externo, em vez de ter seus próprios funcionários tentando fazer tudo. Com as opções corretas de nuvem, sua organização economizará despesas de capital, obterá segurança operacional e será mais ágil e ágil.
Uma oportunidade de conhecer a si mesmo
As empresas têm razão em se preocupar com a segurança da nuvem. Os custos diretos e indiretos das recentes violações de dados em empresas como Anthem, Ashley Madison, CVS, Experian, Scottrade, Target e Trump Hotel Collection são simplesmente surpreendentes. As falhas não resultaram especificamente de vulnerabilidades na nuvem; foram avarias nas políticas fundamentais e execução nas empresas.
"Cloud" abrange uma imensa variedade de ofertas. Para uma empresa, pode ser um divisor de águas adotar um serviço online simples para substituir os cartões de ponto dos trabalhadores por uma ferramenta em rede. Outra empresa pode decidir que precisa de nada menos que um centro de dados como serviço (DCaaS) inteiro, acessado através de desktops como serviço (DaaS) e reforçado pela recuperação de desastre como serviço (DRaaS), com tudo movido para fora do local. Uma terceira empresa pode pular completamente para a nuvem - mas uma empresa privada em um local físico que esteja em conformidade com os regulamentos legais.
Os detalhes de segurança da nuvem diferem entre esses exemplos, mas muitos dos fundamentos são idênticos:
1. Dê a cada funcionário seu próprio login.
2. Crie um procedimento padrão para a retirada de contas quando os funcionários forem embora.
3. Forneça instruções de administração por escrito para acesso a backup e suporte à nuvem.
4. Crie relacionamentos comerciais entre sua organização e o fornecedor de segurança em nuvem antes que ocorra uma emergência.
5. Você e seu provedor devem ter um acordo explícito e compreensível sobre as expectativas do contrato de nível de serviço (SLA), incluindo a frequência de interrupções e um plano de ação para interrupções.
Assim como um plano de negócios formal ajuda a tirar o máximo proveito da sua organização como um todo, vale a pena ter um resumo explícito dos requisitos de TI que abrange fluxos de trabalho, pontos fortes e fracos. Um aspecto importante do planejamento é entrevistar os principais proprietários de carga de trabalho dentro da sua organização para confirmar detalhes precisos de como sua empresa faz seus negócios. Certifique-se de migrar as verdadeiras cargas de trabalho, não o que você lembra que elas poderiam ter sido no passado.
Além disso, planeje uma sequência explícita para sua migração. Procure frutas baixas; migre primeiro fluxos de trabalho facilmente transportáveis, de baixo risco e alto retorno. Aprenda com as migrações iniciais e atualize seu padrão de migração à medida que avança para migrações mais incertas ou perigosas (ou decida, com base em sua experiência, manter um fluxo de trabalho específico fora da nuvem).
Na primeira vez em que você escrever os requisitos, não será perfeito. Não há problema em iniciar um plano, pensar que você capturou tudo, começar a depender dos serviços em nuvem e concluir que as coisas simplesmente não são confortáveis. O grande valor do seu primeiro contrato pode ser aprender o que é eficaz. Não há vergonha em mudar de fornecedor desde o início. Muitas violações de dados dignas de título ocorrem quando se torna rotina para uma organização "contornar" padrões bem intencionados, mas inadequados. A maioria dos serviços em nuvem fornece explicitamente um mês de teste; esperamos tirar proveito desses "test drives".
Lembre-se: quanto mais claramente você entender o que realmente importa para você, maior a probabilidade de recebê-lo. Em resumo, você pode solicitar ao provedor de nuvem tudo, desde segurança móvel, compartilhamento e backup de arquivos de nível consumidor, até funções de linha de negócios (LOB), incluindo contabilidade, inventário e planejamento de recursos empresariais (ERP). Você sabe melhor quais devem ser suas próprias prioridades. Não basta pegar o que lhe é oferecido; pense no que mais lucra com o seu negócio.
Conheça seus dados
As empresas modernas reconhecem que seus dados merecem atenção específica. Em grande medida, outras partes de uma empresa podem ser substituídas ou terceirizadas. Mas os principais dados - sobre clientes, funcionários, processos e propriedades - formam o valor exclusivo da empresa.
Portanto, seu plano de migração deve incluir, em termos claros e específicos, não apenas o que você faz e como fará na nuvem, mas como manterá as principais informações da empresa em segurança. O email é uma carga comum para migrar para a nuvem. Embora o email geralmente seja rico em informações proprietárias, também é uma tecnologia madura e que a nuvem oferece bem. Vários analistas independentes concluíram que hospedar email na nuvem geralmente é mais seguro do que gerenciar o serviço de email internamente. No entanto, se você tiver requisitos especiais de e-mail (como uma restrição legal para armazenamento em uma jurisdição específica), será necessário ajustar seu plano para dar conta disso.
Programas personalizados que incorporam transações de clientes ou processos industriais apresentam o perfil oposto. Nenhum fornecedor de nuvem existe para fornecer seu serviço exclusivo. Por outro lado, até o software mais incomum, proprietário e privado pode ser executado em máquinas virtuais (VMs) alugadas na nuvem. É possível manter o armazenamento de dados em sua organização, mas confie na nuvem para operar com os dados. Isso transforma o gasto de capital (CAPEX) dos servidores de compras em um gasto operacional ajustável (OPEX).
Peça o que quiser
As operações com computadores são em grande parte rotineiras, mas os modelos de negócios ao seu redor ainda não estão totalmente prontos. Algumas partes da nuvem são completamente padronizadas. Todos os dias, por exemplo, milhares de pessoas recebem novas contas de e-mail gratuitas do Google, Microsoft, Yahoo e assim por diante. Nenhum humano intervém.
Serviços em nuvem mais especializados, no entanto, geralmente são apoiados por uma equipe de suporte. Você pode e deve fazer perguntas. Se um serviço em nuvem específico lhe parecer adequado, exceto que não forneça relatórios em um formato correspondente ao seu sistema de contabilidade, informe-o com o provedor. Muitas vezes, eles podem fazer arranjos que não aparecem em suas páginas públicas.
Em grande parte, a questão da nuvem não é "Devemos adotar?" Seus funcionários já estão usando serviços em nuvem, independentemente de você perceber ou não. A questão mais pertinente da nuvem é: "Qual fornecedor se encaixa melhor?" Se você precisar auditar as operações para cumprir a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) ou a Lei Sarbanes-Oxley (SOX), diga-o. Se a leitura de logs de tentativas frustradas de invasão lhe proporcionar conforto, peça-os. A maioria dos provedores entende que bons clientes formam relacionamentos de longo prazo e cooperam com solicitações razoáveis. Uma das grandes vantagens da dependência da nuvem é que você pode ter especialistas de classe mundial trabalhando para você. Aproveite ao máximo isso.
Atribuir um campeão vencedor
Atribua a responsabilidade do sucesso da sua empresa na nuvem a alguém qualificado. Um candidato ideal deve exibir algumas qualidades específicas:
1. Alto status dentro da empresa.
2. Entusiasmado com as oportunidades que a nuvem apresenta.
3. Sensível a preocupações de segurança.
4. Competente em gerenciamento e operações de projetos.
5. Ambicioso (no bom sentido).
Embora seja improvável que você encontre um candidato que atenda a todas as qualificações, vale a pena o esforço para identificar um campeão com pelo menos dois ou três desses atributos. Um campeão não precisa ser um especialista certificado em segurança na nuvem ou ter responsabilidades de TI em tempo integral. Entusiasmo e diligência são qualidades mais importantes.
Se uma organização é pequena o suficiente, o campeão da nuvem pode vir do departamento financeiro ou de compras, alguém que traz consultores para revisar planos e auditar os resultados. Procure consultores que possam expressar claramente suas realizações em termos de negócios; esses são os que são capazes de quantificar as cargas de trabalho que aliviam e os tempos de processamento que reduziram, não apenas as tecnologias da moda nas quais se envolveram.
Manter contato
Alguém dedicado à sua empresa deve manter contato com seu provedor. Ligue periodicamente, leia os blogs de fornecedores ou comunicados de imprensa e pergunte sobre novas ofertas. Você provavelmente tem um funcionário que faz questão de encontrar ofertas especiais de sabão para recarga ou sabe qual caixa do banco pode acelerar o reconhecimento de depósitos. A segurança vital dos dados da empresa merece pelo menos tanta atenção aos detalhes.
Não precisa ser um fardo esmagador; apenas uma hora por semana pode melhorar drasticamente a percepção de como seu provedor opera e o que isso significa para você. Os fornecedores geralmente podem sugerir treinamento sobre novas ameaças à segurança, como mitigá-las, maneiras de sua empresa usar melhor a nuvem (às vezes a um custo menor!), Alterações que provavelmente ocorrerão no próximo ano e muito mais. Aproveite ao máximo o que deve ser um parceiro estratégico.
Confie mas verifique
Você precisa confiar em seu provedor até um certo ponto, mas não se deixe excessivamente vulnerável. Faça planos de recuperação de desastres que antecipem a perda do fornecedor. Os detalhes dependem exatamente do que a nuvem fornece. DR pode significar qualquer coisa, desde puxar uma unidade ZIP de backup do cofre até uma alternância quente até uma instalação DRaaS totalmente equipada. Bons fornecedores podem ajudá-lo com pelo menos parte do planejamento, embora seu backup e DR devam ser revisados por um consultor independente.
Seu plano de recuperação de desastres deve incluir um elemento reverso? Ou seja, uma maneira de continuar, mesmo que a nuvem se torne totalmente indisponível ou a Internet se desfaça? Essa questão está muito longe da filosofia para uma resposta breve, mas o que as empresas podem fazer é incluir uma consideração explícita de eventos extremos e os custos associados a diferentes contramedidas em seu plano. Sua empresa pode ter um plano de recuperação de desastres barato sem depender da Internet e decidir que a proteção vale a pena. A maioria das organizações elabora planos de DR relativamente primitivos e prioriza as operações diárias. No entanto, pelo menos iniciar exercícios de DR é uma experiência educacional e gratificante.
Mantenha Real
Quando você tem expectativas realistas de segurança na nuvem, está na melhor posição para o sucesso. Sim, você pode comprar terabytes de armazenamento na grande loja local a preços surpreendentemente baixos. Quando você paga sua assinatura mensal por serviços em nuvem, lembre-se de que você está recebendo não apenas o valor de um disco, mas um backup automático, ventilado, executando em uma conexão de alta velocidade com um backbone da Internet, eliminado e monitorado quanto a riscos de segurança. O hardware representa uma minoria das despesas de quase todas as ofertas de nuvem.
Mesmo depois que você se muda para a nuvem, suas maiores ameaças à segurança de computadores permanecerão internas à sua empresa: roubos e outros crimes de funcionários. Seu provedor pode e deve ajudá-lo a monitorar as operações, mas, em última análise, a cultura de sua própria empresa determinará grande parte do destino de sua viagem pela nuvem. Siga estas oito etapas e sua migração para a nuvem será bem-sucedida:
1. Jogue para vencer, mire alto e espere melhor segurança, menor custo e maior capacidade de resposta.
2. Entenda seus próprios requisitos e coloque-os por escrito.
3. Entenda seu perfil de segurança de dados específico.
4. Negocie com sabedoria e peça o que você precisa.
5. Designe um campeão da nuvem que vencerá.
6. Mantenha contato.
7. Confie, mas verifique para garantir a perda do provedor.
8. Mantenha-o real e ajuste as expectativas.