Se você está considerando
uma opção baseada na nuvem para o seu negócio, tire um tempo para perguntar ao
seu provedor as seguintes perguntas para manter seus dados seguros
Mudar para uma solução baseada em nuvem significa desistir do controle
sobre seu ambiente para obter flexibilidade e escalabilidade. No mundo de hoje,
onde as ameaças cibernéticas se espalham, liberar esse controle pode ser uma
escolha difícil. Afinal, a estabilidade e o crescimento da sua empresa dependem
dos dados que você entrega, portanto, deve haver alguma preocupação sobre como
esses dados serão tratados pelo provedor de serviços.
12
perguntas de segurança para fazer aos prestadores de serviços baseados em nuvem
Se você estiver considerando uma opção baseada em nuvem para sua
empresa, reserve um tempo para fazer ao seu provedor as seguintes perguntas:
1 - Você já passou por alguma violação de segurança anteriormente? O que aconteceu e o que foi feito para lidar com o potencial do incidente se repetir? Como o seu gerenciamento de incidentes de segurança é organizado?
2- Quais certificações padrão do setor você mantém? Como e quando você é auditado para conformidade?
3- Como os dados em trânsito são criptografados? Como os dados armazenados são criptografados? Quem detém as chaves de criptografia?
4- Quais procedimentos de backup estão em vigor? Os backups são criptografados?
5- Onde o data center está localizado? Quais procedimentos estão em vigor para a segurança física do data center? Controle de acesso? Proteção contra fogo? Proteção contra falha de energia?
6- Quais requisitos de autenticação foram implementados?
7- Os registros são mantidos? Quem tem acesso a estes?
8- Quais processos de gerenciamento de patches você possui?
9 - Como a segmentação de dados é garantida?
10- Quais são seus procedimentos de monitoramento? Qual é o processo de mitigação e notificações se os ataques forem identificados?
11- Todos os componentes do serviço são fornecidos por terceiros? Em caso afirmativo, quais esforços de proteção de dados eles têm em vigor?
12 - O que acontece com nossos dados após o término do contrato?
1 - Você já passou por alguma violação de segurança anteriormente? O que aconteceu e o que foi feito para lidar com o potencial do incidente se repetir? Como o seu gerenciamento de incidentes de segurança é organizado?
2- Quais certificações padrão do setor você mantém? Como e quando você é auditado para conformidade?
3- Como os dados em trânsito são criptografados? Como os dados armazenados são criptografados? Quem detém as chaves de criptografia?
4- Quais procedimentos de backup estão em vigor? Os backups são criptografados?
5- Onde o data center está localizado? Quais procedimentos estão em vigor para a segurança física do data center? Controle de acesso? Proteção contra fogo? Proteção contra falha de energia?
6- Quais requisitos de autenticação foram implementados?
7- Os registros são mantidos? Quem tem acesso a estes?
8- Quais processos de gerenciamento de patches você possui?
9 - Como a segmentação de dados é garantida?
10- Quais são seus procedimentos de monitoramento? Qual é o processo de mitigação e notificações se os ataques forem identificados?
11- Todos os componentes do serviço são fornecidos por terceiros? Em caso afirmativo, quais esforços de proteção de dados eles têm em vigor?
12 - O que acontece com nossos dados após o término do contrato?
Crie uma cultura de questionamento
Não há uma resposta correta para todas as perguntas acima. Por exemplo, como temos uma solução de help desk baseada em nuvem, sabemos que nossos clientes exigem o mais alto nível de segurança possível. Eles usam nosso sistema para rastrear e registrar todos os aspectos de suas relações com o usuário final, desde informações do contrato até o catálogo de serviços, por isso, temos práticas rigorosas em vigor. Em contraste, usamos serviços de terceiros para armazenar fotos de nossos funcionários para uso em materiais de marketing. Embora certamente não desejemos que nada aconteça com esses dados, o risco para o nosso negócio se isso fosse hackeado é muito menor. Então, para você, o importante é entender o nível de segurança necessário em cada situação e compará-lo com as respostas acima, para que você possa avaliar claramente se as práticas de segurança do fornecedor oferecem o nível de proteção necessário.
Não há uma resposta correta para todas as perguntas acima. Por exemplo, como temos uma solução de help desk baseada em nuvem, sabemos que nossos clientes exigem o mais alto nível de segurança possível. Eles usam nosso sistema para rastrear e registrar todos os aspectos de suas relações com o usuário final, desde informações do contrato até o catálogo de serviços, por isso, temos práticas rigorosas em vigor. Em contraste, usamos serviços de terceiros para armazenar fotos de nossos funcionários para uso em materiais de marketing. Embora certamente não desejemos que nada aconteça com esses dados, o risco para o nosso negócio se isso fosse hackeado é muito menor. Então, para você, o importante é entender o nível de segurança necessário em cada situação e compará-lo com as respostas acima, para que você possa avaliar claramente se as práticas de segurança do fornecedor oferecem o nível de proteção necessário.
"Para você, o objetivo é entender o nível de
segurança necessário em cada situação e compará-lo com as respostas acima, para
que você possa avaliar claramente se as práticas de segurança do fornecedor
oferecem o nível de proteção necessário."
Além disso, é importante discutir essas ideias com outras unidades de
negócios para que elas saibam o quanto é importante ser cauteloso - e o que
significa ser cauteloso - ao trabalhar com provedores de serviços baseados em
nuvem. Afinal, é muito fácil clicar em alguns botões e se inscrever em um novo
serviço, mas será que suas equipes de RH, marketing ou vendas realmente
entendem o risco de estarem contratando esse serviço quando o fazem? Reserve um
tempo para revisar essa lista com eles e implemente um processo para garantir
que a equipe de TI faça parte do processo de tomada de decisões ao assinar
novos serviços baseados em nuvem.
Há, é claro, benefícios em potencial ao usar soluções baseadas em nuvem também. Coisas como monitoramento 24 horas ou guardas físicos de segurança 24 horas para o seu data center podem ter um custo proibitivo para o seu negócio. Assim, as soluções baseadas na nuvem também podem ter vantagens de segurança: é apenas uma questão de descobrir o que o fornecedor oferece antes de se comprometer com um novo provedor de serviços, portanto, use essas perguntas para orientá-lo durante o processo de tomada de decisões.
Há, é claro, benefícios em potencial ao usar soluções baseadas em nuvem também. Coisas como monitoramento 24 horas ou guardas físicos de segurança 24 horas para o seu data center podem ter um custo proibitivo para o seu negócio. Assim, as soluções baseadas na nuvem também podem ter vantagens de segurança: é apenas uma questão de descobrir o que o fornecedor oferece antes de se comprometer com um novo provedor de serviços, portanto, use essas perguntas para orientá-lo durante o processo de tomada de decisões.
Jens Bothe - Diretor Global de Consultoria da OTRS AG
Nenhum comentário:
Postar um comentário