Video: SMB PlayBook Checkup - $CHTR (Oktober 2024)
Aturan pertama dalam Playbook Cloud Security bisnis kecil hingga menengah (SMB) ini adalah bahwa kami di dalamnya untuk memenangkannya. Tidak bertahan, atau menabung cukup uang untuk membeli kopi, atau mengikuti orang banyak. Ini tentang meningkatkan perusahaan ke tingkat yang baru, secara bersamaan menghemat uang dan meningkatkan keamanan. Jika Anda tidak mengharapkan semua manfaat dari perpindahan Anda ke cloud, maka Anda berada dalam permainan yang salah.
Pindah ke cloud itu strategis dan menguntungkan. Jangan memperlakukan pindah ke cloud sebagai renungan. Letakkan pekerja yang baik dan berpengalaman di atasnya, bukan magang paruh waktu.
Apakah lini bisnis utama Anda adalah suku cadang kendaraan bermotor, perencanaan acara, atau bahkan perangkat lunak komputer, tujuan dari buku pedoman ini adalah untuk membantu Anda fokus pada visi utama Anda. Untuk sebagian besar, operasi komputer hanyalah gangguan. Penyediaan TI sekarang cukup rutin sehingga Anda lebih baik mempercayainya kepada vendor luar daripada meminta staf Anda sendiri untuk melakukan semuanya. Dengan pilihan cloud yang tepat, organisasi Anda akan menghemat pengeluaran modal, mendapatkan keamanan operasional, dan lebih gesit dan responsif.
Peluang untuk Mengenal Diri Sendiri
Perusahaan berhak khawatir tentang keamanan cloud. Biaya langsung dan tidak langsung dari pelanggaran data baru-baru ini di perusahaan seperti Anthem, Ashley Madison, CVS, Experian, Scottrade, Target, dan Trump Hotel Collection sangat mengejutkan. Kegagalan tidak secara khusus dihasilkan dari kerentanan cloud; mereka adalah gangguan dalam kebijakan mendasar dan eksekusi di dalam perusahaan.
"Cloud" mencakup rentang penawaran yang luas. Untuk satu perusahaan, itu mungkin merupakan pengubah permainan untuk mengadopsi layanan online sederhana untuk mengganti kartu waktu pekerja dengan alat jaringan. Perusahaan lain mungkin memutuskan bahwa ia membutuhkan tidak kurang dari seluruh pusat data sebagai layanan (DCaaS), diakses melalui desktop sebagai layanan (DaaS), dan diperkuat oleh pemulihan bencana sebagai layanan (DRaaS), dengan semuanya dipindahkan di tempat. Perusahaan ketiga mungkin melompat sepenuhnya ke awan - tetapi perusahaan swasta di lokasi fisik yang mematuhi peraturan hukum.
Detail keamanan cloud akan berbeda di antara contoh-contoh ini tetapi banyak dari fundamentalnya identik:
1. Berikan setiap karyawan loginnya sendiri.
2. Buat prosedur standar untuk akun pensiun ketika karyawan pergi.
3. Berikan instruksi admin tertulis untuk akses cadangan dan dukungan cloud.
4. Buat hubungan bisnis antara organisasi Anda dan vendor keamanan cloud sebelum terjadi keadaan darurat.
5. Anda dan penyedia Anda harus memiliki perjanjian eksplisit yang dapat dipahami tentang harapan perjanjian tingkat layanan (SLA), termasuk frekuensi pemadaman dan rencana aksi pemadaman.
Sama seperti rencana bisnis formal membantu Anda memanfaatkan organisasi Anda secara keseluruhan, Anda juga perlu memiliki penulisan persyaratan TI secara eksplisit yang mencakup alur kerja, kekuatan, dan kelemahan. Salah satu aspek perencanaan yang penting adalah mewawancarai pemilik beban kerja utama dalam organisasi Anda untuk mengonfirmasi detail yang tepat tentang bagaimana bisnis Anda menjalankan bisnisnya. Pastikan Anda memigrasi beban kerja yang sebenarnya, bukan apa yang Anda ingat sebelumnya.
Juga, rencanakan urutan eksplisit untuk migrasi Anda. Cari buah yang menggantung rendah; bermigrasi terlebih dahulu dengan mudah diangkut, berisiko rendah, dan alur kerja pengembalian tinggi. Belajarlah dari migrasi awal dan perbarui pola migrasi Anda saat Anda pindah ke migrasi yang lebih tidak pasti atau berbahaya (atau putuskan, berdasarkan pengalaman Anda, untuk menjaga alur kerja tertentu dari cloud).
Pertama kali Anda menulis persyaratan, Anda tidak akan sempurna dalam hal itu. Tidak apa-apa untuk memulai rencana, berpikir Anda telah menangkap semuanya, mulai bergantung pada layanan cloud, dan kemudian menyimpulkan hal-hal yang tidak nyaman. Nilai besar kontrak pertama Anda mungkin belajar apa yang efektif. Tidak ada salahnya beralih penyedia sejak dini. Banyak pelanggaran data yang layak menurut tajuk terjadi ketika menjadi rutin bagi suatu organisasi untuk "mengatasi" standar yang dimaksudkan dengan baik tetapi tidak sesuai. Sebagian besar layanan cloud secara eksplisit menyediakan satu bulan percobaan atau lebih; berharap untuk mengambil keuntungan dari "test drive" ini.
Ingat: Semakin jelas Anda memahami apa yang benar-benar berarti bagi Anda, semakin besar kemungkinan Anda akan menerimanya. Dalam abstrak, Anda dapat meminta penyedia cloud untuk semuanya mulai dari keamanan seluler dan berbagi file dan cadangan tingkat konsumen, hingga fungsi lini bisnis (LOB) termasuk akuntansi, inventaris, dan perencanaan sumber daya perusahaan (ERP). Anda tahu apa yang seharusnya menjadi prioritas Anda sendiri. Jangan hanya menerima apa yang Anda tawarkan; pikirkan apa yang paling menguntungkan bisnis Anda.
Ketahui Data Anda
Bisnis modern mengakui data mereka perlu mendapat perhatian khusus. Untuk sebagian besar, bagian lain dari bisnis dapat diganti atau di-outsourcing-kan. Tetapi data utama - tentang pelanggan, karyawan, proses, dan properti - membentuk nilai unik perusahaan.
Oleh karena itu, rencana migrasi Anda harus mencakup, dalam istilah yang jelas dan spesifik, tidak hanya apa yang Anda lakukan dan bagaimana Anda akan melakukannya di cloud, tetapi bagaimana Anda akan menjaga informasi kunci perusahaan tetap aman. Email adalah beban umum untuk pindah ke cloud. Meskipun email sering kali kaya akan informasi hak milik, itu juga merupakan teknologi yang matang dan yang diberikan cloud dengan baik. Beberapa analis independen telah menyimpulkan bahwa hosting email di cloud umumnya lebih aman daripada mengelola layanan email di rumah. Namun, jika Anda memiliki persyaratan email khusus (seperti batasan hukum untuk penyimpanan di yurisdiksi tertentu), Anda perlu menyesuaikan rencana Anda untuk menjelaskan hal ini.
Program khusus yang mewujudkan transaksi pelanggan atau proses industri menghadirkan profil yang berlawanan. Tidak ada vendor cloud yang menyediakan layanan unik Anda. Di sisi lain, bahkan perangkat lunak yang paling tidak lazim, eksklusif, dan pribadi dapat berjalan di mesin virtual (VM) yang disewa dari cloud. Dimungkinkan untuk menyimpan penyimpanan data di dalam organisasi Anda tetapi mengandalkan cloud untuk beroperasi pada data. Ini mengubah belanja modal (CAPEX) dari server pembelian menjadi pengeluaran operasi yang dapat disesuaikan (OPEX).
Minta Apa yang Anda Inginkan
Operasi komputer sebagian besar rutin tetapi model bisnis di sekitar mereka belum sepenuhnya matang. Beberapa bagian cloud distandarisasi secara menyeluruh. Setiap hari, misalnya, ribuan orang menerima akun email baru tanpa biaya dari Google, Microsoft, Yahoo, dan sebagainya. Tidak ada manusia yang mengintervensi.
Namun, layanan cloud yang lebih terspesialisasi biasanya didukung oleh staf pendukung. Anda dapat dan harus mengajukan pertanyaan. Jika layanan cloud tertentu terlihat tepat untuk Anda, kecuali itu tidak memberikan laporan dalam format yang cocok dengan sistem akuntansi Anda, bawa ke penyedia. Seringkali, mereka dapat membuat pengaturan yang tidak muncul di halaman publik mereka.
Untuk sebagian besar, pertanyaan cloud bukanlah, "Haruskah kita mengadopsi?" Karyawan Anda sudah menggunakan layanan cloud baik Anda menyadarinya atau tidak. Pertanyaan cloud yang lebih relevan adalah, "Penjual mana yang paling cocok?" Jika Anda perlu mengaudit operasi untuk mematuhi UU Kesehatan Portabilitas & Akuntabilitas (HIPAA) atau Sarbanes-Oxley Act (SOX), katakan demikian. Jika membaca log upaya intrusi yang digagalkan memberi Anda kenyamanan, mintalah. Sebagian besar penyedia memahami bahwa pelanggan yang baik membentuk hubungan jangka panjang dan mereka akan bekerja sama dengan permintaan yang masuk akal. Salah satu keuntungan besar dari ketergantungan cloud adalah Anda dapat memiliki pakar kelas dunia yang bekerja untuk Anda. Manfaatkan ini sepenuhnya.
Tetapkan Juara Kemenangan
Tetapkan tanggung jawab atas kesuksesan perusahaan Anda di cloud kepada seseorang yang berkualifikasi. Kandidat yang ideal harus menunjukkan beberapa kualitas spesifik:
1. Status tinggi dalam perusahaan.
2. Antusias terhadap peluang yang diberikan cloud.
3. Peka terhadap masalah keamanan.
4. Kompeten di manajemen proyek dan operasi.
5. Ambisius (dengan cara yang baik).
Meskipun Anda tidak mungkin menemukan kandidat yang memenuhi setiap kualifikasi, ada baiknya Anda mengidentifikasi seorang juara dengan setidaknya dua atau tiga atribut ini. Seorang juara tidak perlu menjadi ahli keamanan cloud bersertifikat atau bahkan memiliki tanggung jawab TI penuh waktu. Antusiasme dan ketekunan adalah kualitas yang lebih penting.
Jika suatu organisasi cukup kecil, cloud champion mungkin berasal dari departemen keuangan atau pembelian, seseorang yang membawa konsultan untuk meninjau rencana dan mengaudit hasil. Cari konsultan yang dapat dengan jelas mengungkapkan pencapaian mereka dalam istilah bisnis; ini adalah yang mampu mengkuantifikasi beban kerja yang telah mereka lega dan memproses waktu yang mereka potong, bukan hanya teknologi modern yang telah mereka coba-coba.
Tetap berhubungan
Seseorang yang dikhususkan untuk perusahaan Anda harus tetap berhubungan dengan penyedia Anda. Hubungi secara berkala, baca blog penyedia apa saja atau siaran pers, dan tanyakan tentang penawaran baru. Anda mungkin memiliki karyawan yang ingin mencari spesial sabun isi ulang atau mengetahui kasir mana di bank yang dapat mempercepat pengakuan deposito. Keamanan data perusahaan yang vital layak mendapatkan perhatian terhadap detail.
Itu tidak harus menjadi beban yang menghancurkan; bahkan hanya satu jam seminggu dapat secara dramatis meningkatkan wawasan tentang bagaimana penyedia Anda beroperasi dan apa artinya bagi Anda. Penyedia sering dapat menyarankan pelatihan tentang ancaman keamanan baru, cara memitigasi mereka, cara-cara perusahaan Anda dapat menggunakan cloud dengan lebih baik (kadang-kadang dengan biaya lebih rendah!), Perubahan yang kemungkinan terjadi di tahun mendatang, dan banyak lagi. Manfaatkan apa yang seharusnya menjadi mitra strategis.
Percaya tapi Verifikasi
Anda perlu mengandalkan penyedia Anda sampai batas tertentu tetapi jangan biarkan diri Anda terlalu rentan. Buat rencana DR yang mengantisipasi hilangnya penyedia. Detailnya tergantung pada apa yang disediakan cloud untuk Anda. DR dapat berarti apa saja dari menarik drive ZIP cadangan dari kotak kunci ke peralihan panas ke instalasi DRaaS yang lengkap. Penyedia yang baik dapat membantu Anda dengan setidaknya bagian dari perencanaan, meskipun cadangan dan DR Anda harus ditinjau oleh konsultan independen.
Haruskah rencana DR Anda menyertakan elemen terbalik? Artinya, cara untuk terus berjalan bahkan jika cloud menjadi benar-benar tidak tersedia atau Internet berantakan? Pertanyaan ini menjelajah terlalu jauh ke filosofi untuk jawaban singkat, tetapi apa yang dapat dilakukan perusahaan adalah, termasuk pertimbangan eksplisit tentang peristiwa ekstrem dan biaya yang terkait dengan tindakan pencegahan yang berbeda dalam rencana mereka. Perusahaan Anda mungkin memiliki rencana DR yang murah tanpa mengandalkan Internet dan memutuskan bahwa perlindungan itu bermanfaat. Sebagian besar organisasi mengerjakan rencana DR yang relatif primitif dan memprioritaskan operasi harian. Padahal, setidaknya memulai latihan DR adalah pengalaman yang mendidik dan bermanfaat.
Tetap nyata
Ketika Anda memiliki harapan keamanan cloud yang realistis, Anda berada di posisi terbaik untuk sukses. Ya, Anda dapat membeli terabyte penyimpanan di toko kotak besar lokal dengan harga yang sangat rendah. Ketika Anda membayar langganan bulanan Anda untuk layanan cloud, ingat Anda menerima tidak hanya nilai dari disk tetapi yang secara otomatis didukung, berventilasi, berjalan pada koneksi berkecepatan tinggi ke tulang punggung Internet, dan digosok dan dipantau untuk bahaya keamanan. Perangkat keras merupakan sebagian kecil dari biaya hampir semua penawaran cloud.
Bahkan setelah Anda pindah ke cloud, ancaman keamanan komputer terbesar Anda akan tetap internal ke perusahaan Anda: pencurian dan kejahatan karyawan lainnya. Penyedia Anda dapat dan harus membantu Anda memantau operasi tetapi, pada akhirnya, budaya perusahaan Anda sendiri akan menentukan banyak nasib perjalanan Anda melalui cloud. Ambil delapan langkah ini dan migrasi cloud Anda akan berhasil:
1. Main untuk menang, bertujuan tinggi, dan mengharapkan keamanan yang lebih baik, biaya lebih rendah, dan lebih responsif.
2. Pahami persyaratan Anda sendiri dan tuliskan.
3. Memahami profil keamanan data spesifik Anda.
4. Bernegosiasi dengan bijak dan minta apa yang Anda butuhkan.
5. Tetapkan juara awan yang akan menang.
6. Tetap berkomunikasi.
7. Percaya tetapi verifikasi untuk memastikan terhadap kehilangan penyedia.
8. Tetap nyata dan sesuaikan harapan.
