在采用云时,您已经保护了公司数据的安全. 2020-01-17
无论您是开始新业务还是已经建立了中小型业务,如今的企业家在采用云技术时都面临着独特的挑战和机遇。在出现各种各样的云提供商可以满足几乎所有业务需求之前,无论规模大小的组织都必须维护IT部门或顾问以及广泛的物理基础架构来运营其业务。
但是这种方法的隐藏缺点不仅是长期成本,还包括安全性。
在当今充满威胁的环境中保护系统和数据的安全非常复杂-非常复杂。它需要技术专家和一系列不断变化的安全产品。监视,维护,策略,升级,修补程序等都是维护自己的IT基础架构的隐性成本。
即使公司拥有财务资源,要找到并保留成功所需的熟练技术安全人才也极其困难。技术人员的数量并未随需求而扩展。不幸的是,在“运行自己的IT”模型中,所有力量都集中在了SMB上,从而成功地保护了他们的系统。
作为创始人,您如何确保所有系统都是安全的?毫不奇怪,云公司帮助改变了安全性。Dropbox,Google,Microsoft,Salesforce等组织都拥有惊人的资源来保护其环境。他们不仅可以通过大规模提出独特的挑战来吸引和保留最佳人才,而且还拥有建立综合团队的资源。
安全责任的很大一部分已转移到云提供商。从客户的角度来看,也没有隐性成本。安全性被纳入可预测性高的订阅费用中。
因此,让我们假设您像许多小型公司一样拥护云。问题是:“我如何确保它的安全性?”这是一些实用建议。
1. 明智地选择。
尽管云服务具有比本地解决方案安全得多的潜力,但并非所有服务都是一样的。通过查看云提供商拥有的证书来测试他们对安全性的承诺。与客户信任度和安全性价值观高度一致的云提供商通常会获得独立审核的认证,例如ISO 27001/27018,AICPA SOC 1/2/3,云安全联盟STAR,PCI等。
小型企业所有者应审阅并信任这些审计报告,而不应投入资源进行自己的评估。其他积极的安全指标包括安全漏洞赏金,渗透测试,红队和其他第三方审查,表明云提供商将超越基础并真正致力于提供强化的服务。
2. 通过强大的密码管理加强身份验证。
与流行的建议相反,强密码并不是保护在线帐户的最终目的。与仅使用弱密码相比,在多个提供程序中使用相同的密码会导致更大的危害。
考虑启用基于标准的“ SAML”单点登录(为此有云提供商),并在任何支持的地方启用两因素身份验证(2FA)。另一个巨大的投资是密码管理工具(例如1Password,LastPass等),它可以改善用户体验,同时为每个应用程序启用高度复杂且唯一的密码。
3. 问责制
每个正式采用的云服务都需要有人负责将其作为管理员进行管理,监视使用情况并控制访问。我们在Dropbox上看到的许多安全错误是雇主没有撤消已终止员工的访问权限,或者仅配置一个管理员帐户,然后让该个人请假。确保您的取消布建流程稳定,及时,并且为所有系统管理员准备了备份。
4. 确保安全。
有许多云提供商可以为您的业务提供业务和个人生产力。那些提供诸如客户关系管理,财务系统,人力资源,工资单等核心服务的人员应受到严格管理,未经批准的服务的采用也应受到控制。
相反,对云服务应采取更加灵活的态度,以实现个人生产力,创新,协作等。您的员工可以成为您最好的技术创新者,因为他们不断评估和采用使他们效率更高的新服务。
弄清楚这些服务是什么-并围绕它们包装安全性。实施可提供监视和控制功能的安全产品,并注册您的员工已经使用并喜欢的热门服务的企业级版本。通过限制访问进行打击可能会带来意想不到的后果。
5. 保护您的端点。
发生了许多入侵,因为一个人被欺骗单击链接或运行某些东西。安全培训很重要,但是即使是最有意识的个人也可能受到攻击。在不可避免的情况下,必须在每个端点上实施一套全面的安全工具,这是至关重要的,一个坏蛋试图在员工的台式机或笔记本电脑上运行代码。
另外,我建议您为最终用户操作系统和应用程序打开所有可用的自动更新功能,并保持已安装的应用程序为最新。如果所有修补程序都是最新的,则攻击者要危害您的公司要困难得多。您应该衡量并奖励您的团队以尽快应用补丁和更新。
这可能听起来像很多建议,但正如我在开始时所说的那样,它很复杂-非常复杂。基于对公司为何会遭受安全性破坏的研究,我相信此清单是大幅降低公司风险的一个很好的起点。
http://www.wonderonline.cn