6 min
Nie musisz rozumieć technicznych szczegółów bezpieczeństwa chmury, żeby podejmować dobre decyzje w tym obszarze. Musisz wiedzieć, jakie pytania zadać - i rozumieć, co oznaczają odpowiedzi.
Oto 5 pytań, które warto zadać swojemu CTO, szefowi IT lub zewnętrznemu dostawcy usług. Po każdym pytaniu wyjaśnienie: dlaczego to ważne i czego się obawiać.
To nie pytanie techniczne - to pytanie o gotowość biznesową. Interesuje Cię odpowiedź na dwa poziomy: jak długo firma nie działałaby, i czy to jest akceptowalny czas.
Konkretny czas przywrócenia (np. "4 godziny") i ostatnia data, kiedy ten plan był testowany. Dobra odpowiedź brzmi: "Ostatnio testowaliśmy to X miesięcy temu i zajęło Y godzin." Niepokojąca: "Mamy kopie zapasowe" bez konkretów.
Wycieki danych rzadziej niż się wydaje wynikają z ataków hakerów - najczęstszą przyczyną są zbyt szerokie uprawnienia własnych pracowników lub aktywne konta byłych pracowników, które nigdy nie zostały wyłączone.
"Nie wiem dokładnie kto" lub brak regularnych przeglądów uprawnień. Prawidłowa odpowiedź zawiera nazwisko osoby odpowiedzialnej i datę ostatniego przeglądu.
Zespół wewnętrzny dobrze zna systemy, które budował - ale często nie widzi problemów, bo "tak zawsze było". Zewnętrzne spojrzenie wyłapuje rzeczy, które wewnątrz są niewidoczne.
"Nigdy" lub "Dawno temu". Dla firm przetwarzających dane klientów - zewnętrzny audyt raz w roku to minimum. Nie musi być drogi ani długi.
To pytanie o monitoring i wykrywanie zagrożeń. Większość firm skupia się na "blokowaniu wejścia" - ale nie na wykrywaniu, że ktoś już jest w środku.
Wahanie lub odpowiedź: "Myślę, że tak". Dobra odpowiedź to: "Tak, mamy system który loguje wszystkie operacje i alertuje przy podejrzanych działaniach. Ostatni alert był X."
GDPR to nie tylko kwestia prawna - to też praktyczny wymóg techniczny. Dane klientów muszą być szyfrowane, dostęp do nich kontrolowany, a naruszenia zgłaszane w ciągu 72 godzin.
"Chyba tak, bo mamy politykę prywatności na stronie". Polityka prywatności to jeden z wielu wymogów - nie ich całość. Dobra odpowiedź zawiera konkretne techniczne mechanizmy: szyfrowanie, logi dostępu, procedury zgłaszania naruszeń.
Jeśli część odpowiedzi Cię zaniepokoiła - nie oznacza to, że Twoja firma jest w kryzysie. Oznacza to, że masz obszary do poprawy, które warto zaadresować zanim staną się problemem.
Dobrą praktyką jest przeprowadzenie tych rozmów regularnie - raz na kwartał lub raz na pół roku - i zapisywanie odpowiedzi. Postęp jest widoczny dopiero w porównaniu.
Podczas bezpłatnego spotkania możemy razem przejrzeć konfigurację i odpowiedzieć na każde z tych pytań konkretnie - bez zobowiązań.