Cuando las pequeñas empresas eligen servicios de TI basados en la nube, inmediatamente buscan ahorrar tiempo y dinero. Pero normalmente es imposible evaluar la seguridad de un servicio "a ojo" sin experiencia. Incluso si las empresas leen detenidamente el acuerdo del proveedor de la nube, no siempre saben qué buscar.
La Agencia Europea de Seguridad de las Redes y la Información (ENISA) decidió ayudar a las pequeñas empresas y creó la Guía de seguridad en la nube para pymes . Esta guía describe los riesgos de la seguridad de la información para medianas y pequeñas empresas, ayuda a formular las preguntas correctas al proveedor de la nube y verifica el acuerdo de nivel de servicio (SLA). No todo lo de esta lista se puede verificar con seguridad, pero algunos puntos están completamente confirmados por certificados y licencias.
Hoy echamos un vistazo más de cerca a la lista de preguntas al proveedor. Evaluémoslo con una nueva perspectiva, completémoslo con ejemplos de la práctica rusa y descubramos qué evidencia del proveedor realmente puede garantizar la protección de datos en la nube.
1. ¿Cómo gestiona el proveedor los riesgos de seguridad de la información en general?
. , .
, :
;
;
. , , , Cloud Controls Matrix Cloud Security Alliance, ISO/IEC 27017:2015 , (STAR). , .
, , ISO/IEC 27001. , .
2. , ?
, .
. ENISA :
, . , SaaS , , — . , .
, :
, . , PCI DSS . :
, . , ;
SLA;
: , .
3. , ?
- .
, , . , . DR-, .
-. , , .
, :
-, , Uptime Institute;
- , ;
, ;
, , (RTO RPO).
4. ?
, .
, :
, , - ;
.
5. , ?
: . , , .
, .
, :
;
, ;
(, );
, .
6. ?
, . , - .
, :
ISO/IEC 27001;
PCI DSS;
;
(IdM), , .
7. ?
, . , “ ”, . ENISA , , .
, :
, , ;
;
: , , ;
.
8. API ?
- API. , , .
, :
;
-;
.
9. , , ?
, . .
, :
;
;
, SLA.
10. ?
, . - .
, :
GUI, API, ;
.
11. , ?
. , , . , . , .
, .
, :
;
;
;
SLA, .
12. ?
“ ”. 152- , .
:
-;
;
.
, - ENISA . , ?