Jos siirryt pilviin, sinun on tutkittava huolellisesti valitsemasi palveluntarjoajan suojausprotokollat. Riippumatta siitä, kuinka paljon digitaalinen läsnäolo on pilvessä, sinun on varmistettava, että palveluntarjoajalla on parhaat turvatoimenpiteet sen infrastruktuurin suojaamiseksi nykyiseltä tietokoneriskiltä.
Kansallisen standardointi- ja teknologiainstituutin (NIST) mukaan pilvipalvelu on ”malli, joka mahdollistaa kaikkialla olevan, kätevän, tilattavan verkon pääsyn konfiguroitaviin tietojenkäsittelyresursseihin (esimerkiksi verkot, palvelimet, tallennus, sovellukset, ja palvelut), jotka voidaan nopeasti säätää ja vapauttaa mahdollisimman vähän hallinnollista työtä tai palveluntarjoajan vuorovaikutusta. ”
$config[code] not foundVaikka tämä yleinen yhteys resursseihin tekee pilvipalveluista niin kätevän, se tekee myös tällaisten järjestelmien mahdollisesti alttiiksi hyökkäyksille. Siksi pilvipalveluntarjoajan on otettava turvallisuuskysymys yhdeksi sen koko toiminnan kriittisimmistä osista.
Cyber Security -kysymykset kysymään pilvipalveluntarjoajaltasi
Olettaen, että palveluntarjoaja on tarkistanut kaikki muut pilvipalvelun tarpeesi laatikot, tässä on joitakin tärkeitä turvallisuuskysymyksiä, joita sinun pitäisi pyytää suorittamaan tarkistusprosessi.
Mitä tyyppisiä tietokeskuksia käytät - ja kuinka monta?
Tietokeskuksen tyyppi (Tier 1, 2, 3, 4) määrittää palvelutason sopimuksen (SLA), jonka se voi tarjota. Tier 4 -tietokeskukset ovat kaikkein turvallisimpia, jotka vaativat vikasietoisia laitteita, kuten palvelimia, tallennustiloja, linkkejä, lämmitystä, jäähdyttimiä ja paljon muuta. Tier 4: n saatavuuden takuu on 99,995% käyttöaikaa, jonka jälkeen Tier 3: n käyttöaika on 99,982 prosenttia, Tier 2: n käyttöaika on 99,749 prosenttia ja Tier 1: n käyttöaika 99,671 prosenttia.
Tyyppien lisäksi voit selvittää, kuinka monta tietokeskusta yritys käyttää. Mitä enemmän irtisanomisia sillä on, sitä paremmat mahdollisuutesi varmistaa tietojesi turvallisuus ja nopea elpyminen.
Mitä sertifikaatteja tällä hetkellä pidät tietokeskuksillesi?
Yrityksesi saattaa joutua noudattamaan sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskevaa lakia (HIPAA, Sarbanes-Oxley Act, SOX), maksukorttialan tietoturvastandardeja (PCI DSS) tai muita määräyksiä. Varmista, että valitsemassasi palveluntarjoajalla on yrityksesi kannalta ratkaisevan tärkeitä vaatimustenmukaisuustodistuksia. Pyydä todistuksia ja tarkastuksia vaatimustenmukaisuudesta.
Kuinka luotettava verkkoinfrastruktuuri on?
Turvallisuuden lisäksi sinun on kysyttävä yhteyden luotettavuudesta asiakkaan ja myyjän verkon välillä. Mikä on sen saatavuus, liikenteen läpäisykyky (kuten kaistanleveys), latenssi ja pakettihäviö? Kun tiedät vastaukset näihin kysymyksiin, tiedät, kuinka nopeasti tarvitset resursseja, kun tarvitset niitä.
Mikä on katastrofin elvytyssuunnitelma?
Palveluntarjoajalla on oltava onnettomuuksien elvytyssuunnitelma, jonka tarkoituksena on minimoida toimintaansa. Muista kysyä, mitä suunnitelma on. Näin tiedät myös, missä yritys tallentaa tiedot rikkomisen tai suuronnettomuuden sattuessa.
Onko sinulla muodollisia kirjallisia tietoturvapolitiikkoja?
Jos palveluntarjoaja on virallistanut tietoturvapolitiikan, heidän pitäisi pystyä tuottamaan kirjallinen versio kyseisistä käytännöistä tarkastuksellesi. Hyvin kirjoitettu politiikka, jota tukevat laatu SLA, on hyvä indikaattori turvaohjelman kypsyydestä.
Mitä tapahtuu, jos liiketoiminta taittuu tai sulautuu toisen yrityksen kanssa?
Pyydä kirjallista suunnitelmaa, joka käsittelee yrityksen vakavaraisuutta riippumatta siitä, meneeko se pois liiketoiminnasta tai on osa sulautumista ja hankintaa. Tämä sisältää aikataulukot kaikkien tietojen siirtämiseksi. Tiedonsiirron aiheena on myös kysyä, mitä käytäntöä muutetaan toiselle palveluntarjoajalle.
Miten fyysinen turvallisuus on?
Tietokeskus on vain yhtä hyvä kuin fyysinen turvallisuus. Jos joku pääsee helposti keskustaan, palvelimet voivat vaarantua. Kysy palveluntarjoajan käyttämien tietokeskusten fyysisen turvallisuuden tyypistä. Tämän vakuuden pitäisi olla käytössä 365 päivää vuodessa.
Miten hävität elinkaaren lopputuotteen ja vialliset tallennuslaitteet?
Tämä on kysymys, joka saattaa jäädä huomiotta, mutta muista, että olet vastuussa asiakkaiden antamista tiedoista. Hävitysprosessin on oltava perusteellinen ja ehdoton. Tämä tarkoittaa sitä, ettei ketään, joka käyttää hylättyjä tuotteita, voi hakea tietoja niiden sisällä.
Jotkin muut kysymykset, joita voit kysyä täällä, voivat sisältää:
- Mitkä ovat salauskäytäntösi?
- Kuinka eristäytynyt on minun tietoni?
- Miten tilin toimintaa seurataan ja dokumentoidaan?
- Voinko käydä tietokeskuksessa?
- Onko kolmannen osapuolen ulkopuolisten toimeksisaajien noudatettava politiikkoja ja asiakassopimuksia?
Kaiken kaikkiaan nämä eivät ole ainoat kysymykset, joita saatat kysyä, joten olkaa niin perusteellisia kuin sinun tarvitsee varmistaa tietojesi turvallisuus.
Se on sinun maineesi linjalla
Pilvipalveluntarjoajalla on organisaationne keskeiset operatiiviset resurssit riippuen siitä, kuinka paljon pilviin siirretyt toiminnot ovat. Jos myyjä ei jostain syystä tarjoa palvelua luvattuina, mainoksesi on linjalla.Joten älä epäröi kysyä kysymyksiä, jotka saattavat vaarantaa sen, mitä olette työskennelleet niin vaikeasti rakentaa.
Lisätietoja siitä, miten pilvipohjaiset palvelut voivat auttaa yritystäsi, ota yhteyttä Meylahiin tänään.
Kuva Shutterstockin kautta
Lisää: Sponsored 1
