Якщо ви переходите до хмари, ви повинні ретельно вивчити протоколи безпеки вибраного постачальника. Незалежно від того, скільки вашої цифрової присутності в хмарі, ви повинні переконатися, що ваш постачальник послуг має найкращі заходи безпеки для захисту своєї інфраструктури від поточного ландшафту кіберзахисту.
Згідно з даними Національного інституту стандартів і технологій (NIST), хмарні обчислення є «моделлю для забезпечення повсюдного, зручного, мережевого доступу за запитом до загального пулу конфігурованих обчислювальних ресурсів (наприклад, мереж, серверів, сховищ, додатків, та послуги), які можуть бути швидко забезпечені та звільнені з мінімальними зусиллями з управління або взаємодією постачальника послуг. "
$config[code] not foundХоча це повсюдне підключення до ресурсів є те, що робить хмарні обчислення настільки зручними, це те, що робить такі системи потенційно вразливими до атак. Таким чином, провайдер хмари повинен прийняти питання безпеки як один з найбільш важливих компонентів своєї загальної діяльності.
Питання безпеки кіберзв'язку, щоб запитати у постачальника послуг у хмарі
Припускаючи, що постачальник послуг перевірив всі інші поля для потреб хмарних обчислень, ось деякі важливі питання безпеки, які ви повинні попросити завершити процес перевірки.
Які типи центрів обробки даних ви використовуєте - і скільки?
Тип центру обробки даних (Tier 1, 2, 3, 4) визначатиме договір рівня обслуговування (SLA), який він може надати. Центри обробки даних Tier 4 є найбільш безпечними, вимагаючи відмовостійкого обладнання, включаючи сервери, сховища, uplinks, опалення, чилери та багато іншого. Гарантія доступності Tier 4 становить 99,995 відсотка безвідмовної роботи, потім 99,982 відсотка безвідмовної роботи для рівня 3, 99,749 відсотка безвідмовної роботи для другого рівня та 99,671 відсотка безвідмовної роботи для першого рівня.
Крім типів, дізнайтеся, скільки центрів обробки даних використовує компанія. Чим більше вона має, тим краще ваші шанси на безпеку даних і швидке відновлення.
Які сертифікати наразі використовуються для ваших центрів обробки даних?
Ваш бізнес, можливо, доведеться дотримуватися Закону про портативність і відповідальність за медичне страхування (HIPAA), Закон Сарбейнса-Окслі (SOX), Стандарти безпеки даних про промисловість платіжних карт (PCI DSS) або інші нормативні акти. Переконайтеся, що постачальник послуг, який ви обрали, має сертифікати відповідності в районах, важливих для вашого бізнесу. Попросіть побачити сертифікати та перевірки відповідності.
Наскільки надійною є ваша мережева інфраструктура?
Окрім безпеки, потрібно запитати про надійність підключення між вами та мережею постачальника. Яка його доступність, пропускна здатність трафіку (наприклад, пропускна здатність), затримка і втрата пакетів? Знання відповідей на ці запитання дасть вам змогу дізнатися, як швидко ви зможете отримати доступ до потрібних вам ресурсів.
Який Ваш план відновлення після аварії?
Ваш постачальник послуг повинен мати план відновлення після аварії, призначений для мінімізації простою операцій. Переконайтеся, що запитаєте, який план. Це також дасть вам змогу дізнатися, де компанія зберігає ваші дані в разі порушення або великої катастрофи.
Чи є у вас офіційна політика щодо інформаційної безпеки?
Якщо постачальник послуг формалізував політику безпеки, вони повинні мати можливість виписати версію цих політик для перевірки. Добре написана політика, заснована на якісних SLA, є гарним показником зрілості програми безпеки.
Що відбувається, якщо бізнес складається або зливається з іншою компанією?
Попросіть письмовий план, що стосується платоспроможності компанії, чи він виходить з бізнесу або є частиною злиття та придбання. Це включає в себе часові таблиці для передачі всіх ваших даних. Хоча на предмет передачі даних, ви також повинні запитати про політику для зміни на іншого постачальника.
Як ваша фізична безпека?
Центр обробки даних настільки хороший, як і фізична безпека. Якщо хтось може легко отримати доступ до центру, це означає, що сервери можуть бути порушені. Запитайте про тип фізичної безпеки на місці в центрах обробки даних, який використовує постачальник послуг. Ця безпека повинна існувати протягом 365 днів у році.
Як розпоряджатися апаратним забезпеченням і пристроями для зберігання даних, які втратили роботу?
Це питання, яке можна пропустити, але пам'ятайте, що ви несете відповідальність за дані, надані вашими клієнтами. Процес утилізації повинен бути ретельним і абсолютним. Це означає, що немає жодних шансів, щоб хтось використовував відкинуті продукти для отримання даних у них.
Деякі інші запитання, які ви можете задати тут, можуть включати:
- Які політики шифрування?
- Наскільки ізольовані мої дані?
- Як здійснюється моніторинг та задокументованість облікового запису?
- Чи можна відвідати центр обробки даних?
- Чи повинні зовнішні підрядники третіх сторін дотримуватися політики та угод з клієнтами?
Звичайно, це не єдині питання, які ви можете задати, так що будьте настільки ретельними, як потрібно, щоб забезпечити безпеку своїх даних.
Це ваша репутація на лінії
Залежно від того, скільки ваших операцій ви перенесли на хмару, постачальник хмарних послуг матиме ключові операційні активи вашої організації. Якщо з якихось причин постачальник не в змозі надати послугу, як обіцяно, ваша репутація знаходиться на лінії.Тому не соромтеся ставити будь-яке питання, яке може поставити під загрозу те, що ви так важко працювали.
Щоб дізнатися більше про те, як хмарні служби можуть допомогти вашому бізнесу, зверніться до Meylah сьогодні.
Фото через Shutterstock
Більше в: Sponsored 1
