Smb-skysikkerhetsspillboka

Den første regelen i denne lille, små og mellomstore virksomheten (Cloud Business Playbook) er at vi er i den for å vinne den. Ikke for å komme forbi, eller for å spare nok småpenger til å kjøpe kaffe, eller for å følge mengden. Det handler om å øke selskapet til et nytt nivå, samtidig spare penger og forbedre sikkerheten. Hvis du ikke forventer at alle fordelene ved å gå til skyen, er du i feil spill.

Et trekk til skyen er strategisk og lønnsomt. Ikke behandle å flytte til skyen som en ettertanke. Legg gode, erfarne arbeidere på det, ikke en deltidsstudent.

Enten din viktigste virksomhet er bildeler, planlegging av arrangementer eller til og med dataprogramvare, er målet med denne spillboken å hjelpe deg med å fokusere på din sentrale visjon. I stor grad er datamaskinoperasjoner bare en distraksjon. IT-levering er nå rutinemessig nok til at du er bedre til å stole på den til en ekstern leverandør i stedet for å la dine egne ansatte prøve å gjøre alt. Med de riktige skyvalgene vil organisasjonen din spare kapitalutgifter, få driftssikkerhet og være mer kvikk og responsiv.

En mulighet til å kjenne deg selv

Bedrifter har rett til å være bekymret for skysikkerhet. De direkte og indirekte kostnadene ved nyere datainnbrudd hos selskaper som Anthem, Ashley Madison, CVS, Experian, Scottrade, Target og Trump Hotel Collection er ganske svimlende. Feilene skyldtes ikke spesielt skysikkerhetsproblemer; de var sammenbrudd i grunnleggende retningslinjer og utførelse i selskapene.

"Cloud" dekker et enormt spenn av tilbud. For ett selskap kan det være en spillskifter å ta i bruk en enkel online tjeneste for å erstatte arbeidstakernes tidskort med et nettverksverktøy. Et annet selskap kan bestemme at det trenger intet mindre enn en hel datasenter-som-en-tjeneste (DCaaS), som er tilgjengelig via desktops-as-a-service (DaaS), og forsterket av katastrofegjenoppretting-som-en-tjeneste (DRaaS), med alt flyttet utenfor lokalet. Et tredje selskap kan hoppe fullt ut i skyen - men et privat selskap på et fysisk sted som er i samsvar med lovbestemmelser.

Skysikkerhetsdetaljer vil variere mellom disse eksemplene, men mange av de grunnleggende er identiske:

1. Gi hver ansatt sin egen innlogging.

2. Lag en standard prosedyre for å trekke kontoer når ansatte går ut.

3. Gi skriftlige administratorinstruksjoner for sikkerhetskopitilgang og skystøtte.

4. Opprett forretningsforhold mellom organisasjonen din og skysikkerhetsleverandøren før en nødsituasjon oppstår.

5. Du og leverandøren din bør ha en forståelig, eksplisitt avtale om forventninger til servicenivåavtale (SLA), inkludert driftsfrekvens og handlingsplan for driftsstans.

Akkurat som en formell forretningsplan bidrar til å få mest mulig ut av organisasjonen din som helhet, lønner det seg å ha en eksplisitt skrivning av IT-krav som dekker arbeidsflyter, styrker og svakheter. Et viktig planleggingsaspekt er å intervjue sentrale eiere av arbeidsmengde i organisasjonen din for å bekrefte nøyaktige detaljer om hvordan bedriften gjør sin virksomhet. Forsikre deg om at du migrerer de virkelige arbeidsmengdene, ikke hva du husker at de kan ha vært tidligere.

Planlegg også en eksplisitt sekvens for overføringen. Se etter lavthengende frukt; migrere lett transportable, lav risiko og høy avkastning arbeidsflyt først. Lær fra tidlige migrasjoner og oppdater migreringsmønsteret ditt når du går til mer usikre eller farlige migrasjoner (eller bestemmer, på bakgrunn av erfaringene dine, å holde en bestemt arbeidsflyt utenfor skyen).

Første gang du skriver opp krav, vil du ikke være perfekt til det. Det er greit å starte en plan, tenke at du har fanget det hele, begynne å være avhengig av skytjenester og deretter konkludere med at ting bare ikke er behagelige. Den store verdien av din første kontrakt kan være å lære hva som er effektivt. Det er ingen skam å bytte leverandører tidlig. Mange overskridelsesverdige datainnbrudd oppstår når det blir rutine for en organisasjon å "jobbe rundt" velmente, men dårlig tilpassede standarder. De fleste skytjenester sørger eksplisitt for en prøvemåned eller så; forventer å dra nytte av disse "prøvekjøringene."

Husk: Jo tydeligere du forstår hva som virkelig betyr noe for deg, jo mer sannsynlig er det at du mottar det. I sammendraget kan du be skyleverandøren om alt fra mobilsikkerhet og fildeling og sikkerhetskopiering av forbrukerklasse, til virksomhetslinjer (LOB) -funksjoner, inkludert regnskap, lager og enterprise resource planning (ERP). Du vet best hva dine egne prioriteringer skal være. Ikke bare ta det du blir tilbudt; tenk gjennom hva som mest profiterer virksomheten din.

Kjenn dataene dine

Moderne virksomheter anerkjenner at dataene deres fortjener spesifikk oppmerksomhet. I stor grad kan andre deler av en virksomhet erstattes eller outsources. Men nøkkeldata - om kunder, ansatte, prosesser og egenskaper - danner selskapets unike verdi.

Derfor bør overføringsplanen din inneholde, i klare og spesifikke termer, ikke bare hva du gjør og hvordan du vil gjøre det i skyen, men hvordan du vil holde viktige deler av selskapets informasjon trygge. E-post er en vanlig belastning for å flytte til skyen. Mens e-post ofte er rik på proprietær informasjon, er det også en moden teknologi, og nettskyen leverer godt. Flere uavhengige analytikere har konkludert med at hosting av e-post i nettskyen generelt er tryggere enn å styre e-posttjenesten internt. Imidlertid, hvis du har spesielle e-postkrav (for eksempel en lovlig begrensning for lagring i en spesifikk jurisdiksjon), må du justere planen din for å gjøre rede for dette.

Tilpassede programmer som omfatter kundetransaksjoner eller industrielle prosesser, viser den motsatte profilen. Det finnes ingen skyleverandør for å tilby din unike tjeneste. På den annen side kan selv den mest uvanlige, proprietære og private programvaren kjøres på virtuelle maskiner (VM) leid fra skyen. Det er mulig å beholde datalagring i organisasjonen, men stole på at skyen bruker dataene. Dette gjør kapitalutgiftene (CAPEX) til å kjøpe servere til en justerbar driftsutgift (OPEX).

Be om hva du vil

Datadrift er stort sett rutinemessig, men forretningsmodellene rundt dem er ennå ikke fullt bakt. Noen deler av skyen er grundig standardisert. Hver dag mottar for eksempel tusenvis av mennesker nye e-postkontoer uten kostnad fra Google, Microsoft, Yahoo og så videre. Ingen mennesker griper inn.

Mer spesialiserte skytjenester er imidlertid vanligvis støttet av en støttepersonell. Du kan og bør stille spørsmål. Hvis en bestemt skytjeneste ser helt riktig ut for deg, med mindre den ikke gir rapporter i et samsvarende format til regnskapssystemet ditt, kan du ta den med leverandøren. Ofte kan de lage ordninger som ikke vises på deres offentlige sider.

I stor grad er skysspørsmålet ikke, "Skal vi adoptere?" Dine ansatte bruker allerede skytjenester uansett om du er klar over det. Det mer relevante skyspørsmålet er: "Hvilken leverandør passer best?" Hvis du trenger å kontrollere operasjoner for å overholde loven om helseforsikring og ansvarlighet (HIPAA) eller Sarbanes-Oxley Act (SOX), må du si det. Hvis lesing av logger om folierte inntrengningsforsøk gir deg trøst, kan du be om dem. De fleste tilbydere forstår at gode kunder danner langsiktige forhold, og de vil samarbeide med fornuftige forespørsler. En av de store fordelene med skyavhengighet er at du kan ha eksperter i verdensklasse som jobber for deg. Få mest mulig ut av dette.

Tildel en vinnende mester

Tildel ansvaret for bedriftens suksess i skyen til noen kvalifiserte. En ideell kandidat bør ha noen spesifikke egenskaper:

1. Høy status i selskapet.

2. Entusiastisk om mulighetene skyen gir.

3. Følsom for sikkerhetsproblemer.

4. Kompetent i prosjektledelse og drift.

5. Ambisiøs (på en god måte).

Selv om du neppe vil finne en kandidat som oppfyller hver kvalifikasjon, er det verdt innsatsen å identifisere en mester med minst to eller tre av disse attributtene. En mester trenger ikke være en sertifisert skysikkerhetsekspert eller til og med ha IT-ansvar på heltid. Entusiasme og flid er viktigere egenskaper.

Hvis en organisasjon er liten nok, kan skymesteren komme fra finans- eller innkjøpsavdelingen, noen som henter inn konsulenter for å gjennomgå planer og revisjonsresultater. Se etter konsulenter som tydelig kan uttrykke sine prestasjoner i forretningsmessige termer; dette er de som er i stand til å kvantifisere arbeidsmengder de har lettet og behandle tider de har skåret ned, ikke bare fasjonable teknologier som de har dyppet.

Holde kontakten

Noen som er dedikert til selskapet ditt, bør holde kontakten med leverandøren din. Ring med jevne mellomrom, les leverandørblogger eller pressemeldinger, og spør om nye tilbud. Du har sannsynligvis en ansatt som gjør et poeng av å finne spesialtilbud på påfyllingssåpe eller vet hvilken kasserer i banken som kan fremskynde anerkjennelse av innskudd. Datasikkerhet for vitale selskaper fortjener minst like mye oppmerksomhet på detaljer.

Det trenger ikke være en knusende byrde; selv bare en time i uken kan dramatisk forbedre innsikten i hvordan leverandøren din opererer og hva det betyr for deg. Tilbyderne kan ofte foreslå opplæring om nye sikkerhetstrusler, hvordan de kan avbøte dem, måter bedriften din kan bruke skyen på (noen ganger til lavere pris!), Endringer som er sannsynlige det kommende året og mer. Få mest mulig ut av det som skal være en strategisk partner.

Stol på, men bekreft

Du må stole på leverandøren din til en viss grad, men ikke la deg være for sårbar. Lag DR-planer som forventer tap av leverandøren. Detaljene avhenger av nøyaktig hva skyen gir deg. DR kan bety alt fra å trekke en backup ZIP-stasjon ut av lockbox til en varm omkobling til en fullt utstyrt DRaaS-installasjon. Gode ​​leverandører kan hjelpe deg med minst en del av planleggingen, selv om sikkerhetskopien og DR-en bør gjennomgås av en uavhengig konsulent.

Bør din DR-plan inkludere et omvendt element? Betydning, en måte å fortsette, selv om skyen blir fullstendig utilgjengelig eller Internett faller fra hverandre? Dette spørsmålet strever for langt ut i filosofien for et kort svar, men det selskaper kan gjøre er å inkludere eksplisitt vurdering av ekstreme hendelser og kostnadene forbundet med forskjellige motforanstaltninger i planen. Din bedrift kan ha en billig DR-plan uten å stole på Internett og bestemme at beskyttelse er verdt. De fleste organisasjoner utarbeider relativt primitive DR-planer og prioriterer daglig drift. Skjønt, i det minste å starte DR-øvelser er en lærerik og givende opplevelse.

Hold det ekte

Når du har realistiske skysikkerhetsforventninger, er du i beste posisjon for å lykkes. Ja, du kan kjøpe terabyte lagringsplass i den lokale storboksen-butikken til sjokkerende lave priser. Når du betaler det månedlige abonnementet ditt for skytjenester, må du huske at du ikke bare mottar verdien av en disk, men en som automatisk sikkerhetskopieres, ventileres, kjøres på en høyhastighetsforbindelse til en Internett-ryggrad, og skrubbes og overvåkes for sikkerhetsfare. Maskinvaren utgjør et mindretall av utgiftene til nesten alle skytilbud.

Selv etter at du har flyttet til skyen, vil de største datasikkerhetstruslene forbli interne i selskapet ditt: tyverier og andre ansattes forbrytelser. Din leverandør kan og bør hjelpe deg med å overvåke driften, men til syvende og sist vil din egen firmakultur avgjøre mye av skjebnen til din reise gjennom skyen. Ta disse åtte trinnene, og skyflyttingen din lykkes:

1. Spill for å vinne, sikte høyt og forvente bedre sikkerhet, lavere kostnader og mer lydhørhet.

2. Forstå dine egne krav og skriv dem skriftlig.

3. Forstå den spesifikke datasikkerhetsprofilen din.

4. Forhandle klokt og be om hva du trenger.

5. Tildel en skymester som vil vinne.

6. Hold kontakten.

7. Stol på, men bekreft for å sikre deg mot leverandørtap.

8. Hold det ekte og juster forventningene.