La sécurité à l'ère du cloud computing – Étapes à suivre

Le mois dernier, j'ai discuté de l'importance de afin de répondre aux préoccupations en matière de sécurité lors de la migration de services vers le cloud . À mon avis, la sécurité est la responsabilité la plus importante d’une entreprise informatique. La bonne nouvelle est que les services de cloud computing ont mûri au point de fournir des environnements très sécurisés, parfois même plus qu'une solution sur site. Cependant, certaines étapes doivent être suivies lors de la migration vers le traitement en nuage pour assurer la sécurité de vos actifs informatiques.

J'ai déjà énuméré un certain nombre de domaines d'intérêt pour la sécurité liée aux services en nuage.

Diligence raisonnable à l'égard du fournisseur de services dans le nuage

L'élément le plus important à prendre en compte est le choix du fournisseur de services dans le nuage. Dans certaines situations, telles que l'hébergement spécifique à un fournisseur ou la livraison d'une application SAAS, vous n'avez pas le choix du fournisseur. Même dans ces situations, vous devez toujours vous assurer que le fournisseur prend les mesures appropriées pour assurer la sécurité de vos données et permettre la continuité des opérations en cas de perturbation.

Si vous évaluez plusieurs fournisseurs, assurez-vous et demandez quelles certifications ils ont. , leur expérience des violations de la sécurité ou des défaillances (le cas échéant), des technologies qu’ils utilisent pour protéger leur environnement de traitement contre les menaces extérieures, expérience du secteur de la santé (avec références de clients existants), de leurs antécédents d’exploitation et de leur situation financière (si elles ne sont pas publiquement disponibles) ).

Ces considérations sont aussi importantes, sinon plus, que le coût du service, car vous devez avant tout veiller à ce que le fournisseur réponde à vos exigences en matière de sécurité et dispose à la fois de l’expérience et des ressources financières nécessaires.

l'accord

Une fois que vous avez sélectionné un fournisseur, vous passez rapidement à la passation de marché. Votre capacité à négocier ou à modifier le contrat standard du fournisseur varie considérablement selon le fournisseur, le type de service offert et la taille de la relation. Vous ne pourrez peut-être pas négocier tous ces éléments à votre satisfaction, mais vous devez au moins revoir l'accord avec eux à l'esprit, apporter des modifications dans la mesure du possible et, si vous êtes incapable de négocier un article spécifique avec un fournisseur, assurez-vous qu'il existe d'autres moyens. pour atténuer ce risque.

Les termes clés sur lesquels se concentrer lors des négociations pour protéger vos sûretés sont notamment les suivants:

• Droits de vérification (possibilité pour vous ou votre mandataire de vérifier la performance du vendeur, fourniture de SSAE16 ou d'un tel examen indépendant similaire, etc. .)
• Obligations de sauvegarde, de redondance et de reprise des données
• Garanties
• Obligations d’indemnisation en cas de préjudice causé par des actions ou l’absence d’actions de la part du prestataire de services
• Options de résiliation en cas de non-respect ou d'inexécution des obligations de sécurité identifiées (vous ne voulez vraiment pas résilier mais ces options permettent à un fournisseur de rester concentré sur la livraison)
• Des SLA pour surveiller les performances avec des sanctions pénales. liens en cas de non-respect de certains niveaux de performance minimaux convenus
• Si votre environnement est partagé avec d’autres clients ou uniquement pour votre usage
• Rapports sur les performances et vérification du respect des exigences
• Emplacement du site d’hébergement (peut affecter les performances et vous devez également vous assurer que l'emplacement physique est dans une zone acceptable – pas en mer par exemple si cela pose un problème pour votre organisation)
• Accord de partenariat (le cas échéant)

Protection du transit des données à destination et en provenance de le fournisseur de services

Il est formidable de disposer d'un fournisseur de services de cloud computing de classe mondiale et d'une infrastructure interne sécurisée, mais si vous ne disposez pas d'une connectivité sécurisée avec le fournisseur de services, rien de tout cela n'a d'importance. Portez une attention particulière lorsque vous déployez des services en nuage pour vous assurer que la connectivité au fournisseur est sécurisée.

Le cryptage est un strict minimum et vous devez prendre en compte les circuits privés (ou un accès VPN très sécurisé si vous utilisez une connexion à partage comme Internet) et plusieurs. Facteur de contrôle d'accès. La redondance d'accès est également importante car toute la sécurité du travail n'aide pas si vous ne pouvez pas accéder à vos données. Ceci est également requis dans le cadre d'un plan de continuité des opérations plus vaste.

Rapports de sécurité, audits et réunions de planification en cours

Une fois que vous avez négocié les exigences en matière de rapports, les ANS, les droits d'audit et des réunions de révision régulières ne mettent pas l'accord en place. étagère et pense que la relation va se dérouler toute seule. J'ai vu de nombreux clients travailler avec diligence sur les conditions du contrat et ne pas gérer le contrat une fois qu'il est entré en vigueur.

Assurez-vous que le fournisseur fournit les rapports et organise les réunions que vous avez négociées. En outre, invoquez vos droits d'audit pour vous assurer que le fournisseur s'acquitte de toutes les responsabilités convenues dans l'accord. Tout accord important nécessite une gestion diligente et les contrats de services de cloud computing ne sont pas différents.

Si vous vous efforcez de sélectionner le bon fournisseur, négociez un contrat pour protéger vos intérêts, assurez-vous que la connectivité avec le fournisseur de services de cloud computing est sécurisée et gérez activement leur performance. Il n’ya aucune raison pour qu’un environnement en nuage ne puisse pas être aussi sécurisé, voire plus, que vos opérations internes.