Quando as pequenas empresas escolhem serviços de TI baseados na nuvem, elas imediatamente procuram economizar tempo e dinheiro. Mas geralmente é impossível avaliar a segurança de um serviço “a olho” sem experiência. Mesmo que as empresas leiam o contrato de provedor de nuvem com atenção, nem sempre sabem o que procurar.
A Agência Europeia para a Segurança das Redes e da Informação (ENISA) decidiu ajudar as pequenas empresas e criou o Guia de Segurança na Nuvem para PME . Este guia descreve os riscos da segurança da informação para médias e pequenas empresas, ajuda a formular as perguntas certas para o provedor de nuvem e verificar o acordo de nível de serviço (SLA). Nem tudo nesta lista pode ser verificado com certeza, mas alguns pontos são totalmente confirmados por certificados e licenças.
Hoje veremos mais de perto a lista de perguntas para o provedor. Vamos avaliá-lo com uma nova perspectiva, complementá-lo com exemplos da prática russa e descobrir quais evidências do provedor podem realmente garantir a proteção de dados na nuvem.
1. Como o provedor geralmente gerencia os riscos à segurança da informação?
. , .
, :
;
;
. , , , Cloud Controls Matrix Cloud Security Alliance, ISO/IEC 27017:2015 , (STAR). , .
, , ISO/IEC 27001. , .
2. , ?
, .
. ENISA :
, . , SaaS , , — . , .
, :
, . , PCI DSS . :
, . , ;
SLA;
: , .
3. , ?
- .
, , . , . DR-, .
-. , , .
, :
-, , Uptime Institute;
- , ;
, ;
, , (RTO RPO).
4. ?
, .
, :
, , - ;
.
5. , ?
: . , , .
, .
, :
;
, ;
(, );
, .
6. ?
, . , - .
, :
ISO/IEC 27001;
PCI DSS;
;
(IdM), , .
7. ?
, . , “ ”, . ENISA , , .
, :
, , ;
;
: , , ;
.
8. API ?
- API. , , .
, :
;
-;
.
9. , , ?
, . .
, :
;
;
, SLA.
10. ?
, . - .
, :
GUI, API, ;
.
11. , ?
. , , . , . , .
, .
, :
;
;
;
SLA, .
12. ?
“ ”. 152- , .
:
-;
;
.
, - ENISA . , ?