SMB 클라우드 보안 플레이 북

이 중소 기업 (SMB) 클라우드 보안 플레이 북의 첫 번째 규칙은 우리가 이기고 있다는 것입니다. 커피를 사거나 군중을 따라갈 수있는 충분한 현금을 절약하거나 구하지 마십시오. 회사를 새로운 차원으로 끌어 올리면서 동시에 비용을 절감하고 보안을 강화하는 것입니다. 클라우드로의 이동으로 인한 이점을 모두 기대하지 않으면 잘못된 게임에있는 것입니다.

클라우드로의 전환은 전략적이고 수익성이 있습니다. 클라우드로의 이동을 나중에 생각하지 마십시오. 아르바이트 인턴이 아닌, 숙련되고 숙련 된 근로자를 고용하십시오.

주요 비즈니스 라인이 자동차 부품, 이벤트 계획 또는 컴퓨터 소프트웨어인지 여부에 관계없이이 플레이 북의 목표는 중앙 비전에 집중할 수 있도록 돕는 것입니다. 대부분 컴퓨터 작업은 방해가되지 않습니다. IT 프로비저닝은 이제 일상적으로 직원이 모든 일을하도록하는 대신 외부 공급 업체에 신뢰하는 것이 좋습니다. 올바른 클라우드 선택을 통해 조직은 자본 비용을 절감하고 운영 보안을 확보하며보다 민첩하고 신속하게 대응할 수 있습니다.

자신을 알 수있는 기회

회사는 클라우드 보안에 대해 걱정할 권리가 있습니다. Anthem, Ashley Madison, CVS, Experian, Scottrade, Target 및 Trump Hotel Collection과 같은 회사의 최근 데이터 침해에 대한 직접 및 간접 비용은 엄청납니다. 특히 클라우드 취약점으로 인한 장애는 아닙니다. 그들은 회사 내에서 기본적인 정책과 실행에 고장이있었습니다.

"클라우드"는 엄청난 범위의 오퍼링을 포괄합니다. 한 회사의 경우 간단한 온라인 서비스를 채택하여 근로자의 타임 카드를 네트워크 도구로 대체하는 것이 게임 체인저 일 수 있습니다. 다른 회사는 전체 DCaaS (Data-as-a-a-Service), DaaS (Desktops-as-a-Service)를 통해 액세스하고 재난 복구 (Resight-as-a-a-a-Service)로 강화할 필요가 있다고 결정할 수도 있습니다 (DRaaS), 모든 것이 사외로 이동했습니다. 세 번째 회사는 클라우드로 완전히 넘어갈 수 있지만 법적 규정을 준수하는 물리적 위치에있는 개인 회사 일 수 있습니다.

클라우드 보안 세부 사항은 이러한 예마다 다르지만 많은 기본 사항이 동일합니다.

1. 모든 직원에게 자신의 로그인을 제공하십시오.

2. 직원이 퇴사 할 때 계정을 폐기하기위한 표준 절차를 만듭니다.

3. 백업 액세스 및 클라우드 지원을위한 서면 관리자 지침을 제공하십시오.

4. 긴급 상황이 발생하기 전에 조직과 클라우드 보안 공급 업체간에 비즈니스 관계를 만듭니다.

5. 귀하와 귀하의 공급자는 중단 빈도 및 중단 조치 계획을 포함하여 SLA (서비스 수준 계약) 기대치에 대해 이해하기 쉽고 명시적인 계약을 체결해야합니다.

공식적인 비즈니스 계획이 조직 전체를 최대한 활용하는 데 도움이되는 것처럼 워크 플로, 강점 및 약점을 다루는 명시적인 IT 요구 사항을 작성해야합니다. 중요한 계획 측면 중 하나는 조직 내 주요 워크로드 소유자를 인터뷰하여 비즈니스 수행 방식에 대한 정확한 세부 정보를 확인하는 것입니다. 과거에 있었던 기억이 아니라 실제 워크로드를 마이그레이션하십시오.

또한 마이그레이션에 대한 명시 적 순서를 계획하십시오. 매달린 과일을 찾으십시오. 쉽게 이동 가능하고 위험이 적으며 수익이 높은 워크 플로를 먼저 마이그레이션하십시오. 보다 불확실하거나 위험한 마이그레이션으로 이동할 때 초기 마이그레이션에서 학습하고 마이그레이션 패턴을 업데이트하십시오 (또는 경험에 따라 특정 워크 플로우를 클라우드 외부로 유지하기로 결정).

요구 사항을 처음 작성할 때는 완벽하지 않습니다. 계획을 시작하고 모든 계획을 파악했다고 생각하고 클라우드 서비스에 의존하기 시작한 다음 편안하지 않다는 결론을 내릴 수 있습니다. 첫 계약의 큰 가치는 효과적인 것을 배우는 것일 수 있습니다. 공급자를 조기에 전환하는 데 부끄러움이 없습니다. 조직이 의도가 있지만 적합하지 않은 표준을 "해결"하는 것이 일상이되면 많은 헤드 라인에 적합한 데이터 유출이 발생합니다. 대부분의 클라우드 서비스는 시험 기간을 명시 적으로 제공합니다. 이러한 "테스트 드라이브"를 활용하십시오.

기억하십시오. 진정으로 자신에게 중요한 것이 무엇인지를 명확하게 이해할수록 더 많이받을 것입니다. 요약하면 클라우드 보안 제공 업체에 모바일 보안 및 소비자 등급 파일 공유 및 백업에서 회계, 재고 및 ERP (Enterprise Resource Planning)를 포함한 LOB (기간 업무) 기능에 이르기까지 모든 것을 요청할 수 있습니다. 자신의 우선 순위가 무엇인지 가장 잘 알고 있습니다. 당신이 제안한 것을 가져 가지 마라. 귀하의 비즈니스에서 가장 많은 이익을 생각하십시오.

데이터를 알고

현대 기업은 데이터에 특별한주의를 기울여야한다는 점을 인식하고 있습니다. 대부분 비즈니스의 다른 부분을 대체하거나 아웃소싱 할 수 있습니다. 그러나 고객, 직원, 프로세스 및 자산에 대한 주요 데이터는 회사의 고유 한 가치를 형성합니다.

따라서 마이그레이션 계획에는 명확하고 구체적인 용어로 클라우드에서 수행하는 작업과 수행 방식뿐만 아니라 주요 회사 정보를 안전하게 유지하는 방법이 포함되어야합니다. 이메일은 클라우드로 이동하기위한 일반적인로드입니다. 이메일은 종종 독점 정보가 풍부하지만 성숙한 기술이며 클라우드가 잘 전달하는 기술이기도합니다. 몇몇 독립적 인 분석가들은 클라우드에서 이메일을 호스팅하는 것이 사내 이메일 서비스를 관리하는 것보다 일반적으로 더 안전하다고 결론지었습니다. 그러나 특별한 전자 메일 요구 사항 (예: 특정 관할 구역에서의 저장에 대한 법적 제한)이있는 경우이를 고려하여 계획을 조정해야합니다.

고객 거래 또는 산업 프로세스를 구현하는 맞춤형 프로그램은 반대의 프로필을 제시합니다. 고유 한 서비스를 제공 할 클라우드 공급 업체가 없습니다. 반면, 가장 독특하고 독점적 인 개인 소프트웨어조차도 클라우드에서 임대 된 가상 머신 (VM)에서 실행될 수 있습니다. 조직 내에서 데이터 스토리지를 유지할 수 있지만 클라우드를 사용하여 데이터를 조작 할 수 있습니다. 이는 구매 서버의 자본 지출 (CAPEX)을 조정 가능한 운영 지출 (OPEX)로 바꿉니다.

당신이 원하는 것을 요구하십시오

컴퓨터 운영은 대부분 일상적인 일이지만 그 주변의 비즈니스 모델은 아직 완전히 구워지지 않았습니다. 클라우드의 일부는 철저하게 표준화되었습니다. 예를 들어 매일 수천 명의 사람들이 Google, Microsoft, Yahoo 등에서 무료로 새로운 전자 메일 계정을받습니다. 인간의 개입은 없습니다.

그러나보다 전문화 된 클라우드 서비스는 일반적으로 지원 담당자가 지원합니다. 질문을 할 수 있고 질문해야합니다. 특정 클라우드 서비스가 귀하의 회계 시스템에 맞는 형식으로 보고서를 제공하지 않는 것을 제외하고 귀하에게 잘 맞는 경우, 해당 서비스를 제공자에게 제공하십시오. 종종 공개 페이지에 표시되지 않는 정렬을 할 수 있습니다.

대체로 클라우드 질문은 "우리가 채택해야 하는가?"가 아닙니다. 직원들은 클라우드 서비스를 알고 있는지 여부에 관계없이 이미 클라우드 서비스를 사용하고 있습니다. 보다 적절한 클라우드 질문은 "어떤 공급 업체가 가장 적합한가?"입니다. HIPAA (Health Insurance Portability & Accountability Act) 또는 SOX (Sarbanes-Oxley Act)를 준수하기 위해 작업을 감사해야한다면 그렇게하십시오. 침입 시도의 로그를 읽는 것이 편안함을 제공한다면 요청하십시오. 대부분의 공급자는 좋은 고객이 장기적인 관계를 형성하고 합리적인 요청에 협조한다는 것을 이해합니다. 클라우드 의존성의 가장 큰 장점 중 하나는 세계적인 전문가가 귀하를 위해 일할 수 있다는 것입니다. 이것을 최대한 활용하십시오.

우승 챔피언 지정

클라우드에서 회사의 성공에 대한 책임을 자격있는 사람에게 할당하십시오. 이상적인 후보자는 몇 가지 구체적인 특성을 보여야합니다.

1. 회사 내에서 높은 지위.

2. 클라우드가 제시하는 기회에 대한 열정.

3. 보안 문제에 민감합니다.

4. 프로젝트 관리 및 운영 능력.

5. 야심 찬 (좋은 방법으로).

모든 자격 조건을 충족하는 후보자를 찾을 수는 없지만 이러한 특성 중 2 ~ 3 개 이상을 가진 챔피언을 식별하는 것이 좋습니다. 챔피언은 인증 된 클라우드 보안 전문가 일 필요가 없으며 전임 IT 책임을 가질 필요가 없습니다. 열정과 근면이 더 중요한 특성입니다.

조직이 충분히 작은 경우 클라우드 챔피언은 재무 또는 구매 부서에서 나올 수 있습니다. 컨설턴트는 계획을 검토하고 결과를 감사하기 위해 컨설턴트를 불러옵니다. 자신의 업적을 비즈니스 용어로 명확하게 표현할 수있는 컨설턴트를 찾으십시오. 이것들은 그들이 다루었던 유행 기술뿐만 아니라 그들이 완화 한 작업량과 처리 시간을 정량화 할 수있는 것들입니다.

연락을 유지하다

회사에 헌신 한 사람은 제공자와 연락을 유지해야합니다. 정기적으로 전화를 걸어 제공자 블로그 나 보도 자료를 읽고 새로운 제안에 대해 문의하십시오. 리필 비누에 대한 스페셜을 찾거나 은행의 어떤 계산원이 예금 인식을 촉진 할 수 있는지 아는 직원이있을 것입니다. 중요한 회사 데이터 보안은 최소한 세부 사항에주의를 기울여야합니다.

그것은 큰 부담이 될 필요는 없습니다. 일주일에 한 시간이라도 제공자의 운영 방식과 그 의미에 대한 통찰력을 크게 향상시킬 수 있습니다. 공급자는 종종 새로운 보안 위협에 대한 교육, 위협 완화 방법, 회사에서 클라우드를보다 효율적으로 사용할 수있는 방법 (때로는 저렴한 비용으로 제공), 내년에 발생할 수있는 변경 사항 등을 제안 할 수 있습니다. 전략적 파트너가되어야하는 것을 최대한 활용하십시오.

신뢰하지만 검증

어느 정도 제공자에게 의존해야하지만 지나치게 취약한 상태로 두지 마십시오. 제공자의 손실을 예상하는 DR 계획을 세우십시오. 세부 사항은 클라우드가 제공하는 내용에 따라 다릅니다. DR은 백업 ZIP 드라이브를 락박스에서 꺼내는 것부터 완전히 장착 된 DRaaS 설치로의 핫 스왑 오버에 이르기까지 모든 것을 의미 할 수 있습니다. 훌륭한 공급자는 계획의 적어도 일부를 도와 줄 수 있지만, 독립 컨설턴트가 백업 및 DR을 검토해야합니다.

DR 계획에 역 분개 요소가 포함되어야합니까? 즉, 클라우드를 완전히 사용할 수 없거나 인터넷이 무너져도 계속 진행할 수있는 방법은 무엇입니까? 이 질문은 간단한 대답을하기에는 너무 철학적으로 로밍되지만 기업이 할 수있는 일은 극단적 인 사건에 대한 명시적인 고려와 계획의 다른 대책과 관련된 비용을 포함하는 것입니다. 회사는 인터넷에 의존하지 않고 저렴한 DR 계획을 갖고 보호 가치가 있다고 결정할 수 있습니다. 대부분의 조직은 상대적으로 원시적 인 DR 계획을 세우고 매일 운영을 우선시합니다. 그러나 최소한 DR 연습을 시작하는 것은 교육적이고 보람있는 경험입니다.

진짜로 유지

현실적인 클라우드 보안 기대치가 있다면 성공을위한 최고의 위치에 있습니다. 예, 현지 대형 박스 스토어에서 테라 바이트 급 스토리지를 놀랍도록 저렴한 가격으로 구입할 수 있습니다. 클라우드 서비스에 대한 월간 구독료를 지불 할 때 디스크의 가치뿐만 아니라 자동 백업, 환기, 인터넷 백본과의 고속 연결에서 실행되고 보안 위험에 대한 제거 및 모니터링되는 디스크의 가치를 받고 있음을 기억하십시오. 하드웨어는 거의 모든 클라우드 오퍼링의 비용을 약간만 구성합니다.

클라우드로 이동 한 후에도 가장 큰 컴퓨터 보안 위협은 회사 내부에 남아 있습니다 (도난 및 기타 직원 범죄). 서비스 제공 업체는 운영 모니터링을 도와 줄 수는 있지만 궁극적으로 회사 문화에 따라 클라우드를 통한 여행의 운명이 결정됩니다. 다음 8 단계를 수행하면 클라우드 마이그레이션이 성공합니다.

1. 승리를 목표로하고 더 나은 보안, 저렴한 비용 및 더 빠른 응답 성을 기대하십시오.

2. 자신의 요구 사항을 이해하고 서면으로 작성하십시오.

3. 특정 데이터 보안 프로필을 이해하십시오.

4. 현명하게 협상하고 필요한 것을 요구하십시오.

5. 승리 할 클라우드 챔피언을 지정하십시오.

6. 연락을 유지하십시오.

7. 제공자 손실을 방지하기 위해 신뢰하지만 검증하십시오.

8. 실제 상태를 유지하고 기대치를 조정하십시오.