¿Qué impulsa los controles de seguridad en los modelos de nube: requisitos empresariales? O SLAs?

Navega tus respuestas
1

Me estoy preparando para el examen CCSP y otra pregunta de la prueba me está rechazando.

La pregunta dice:

  

En todos los modelos de nube, los controles de seguridad están controlados por cuál de los   siguiente:

     

A. Motor de virtualización
    B. Hypervisor
    C. SLAs
  RE.   Requisitos comerciales

Elegí C. SLAs porque:

  • Las respuestas de virtualización e hipervisor son demasiado técnicas y no están en el ámbito de esta pregunta.
  • Es posible que el proveedor de la nube no tenga necesariamente los mismos objetivos comerciales que el cliente, por lo que es posible que los requisitos comerciales del cliente no se alineen con los objetivos u objetivos de seguridad del proveedor de la nube.
  • El SLA es un documento mutuamente vinculante que describe el alcance de la confiabilidad del servicio y el alcance de la responsabilidad general para ambas partes en la nube.

Ejemplo: si el proveedor de la nube decide vender toda la información del cliente a un competidor del cliente, eso infringiría (con suerte) los términos de seguridad y divulgación descritos en el SLA ... ¿verdad?

Obviamente, sin embargo, me equivoco de acuerdo con el material de preparación de la prueba. ¿Podría alguien por favor elaborar?

El material de preparación de la prueba considera que "D. Requisitos comerciales" es la respuesta correcta.

    
pregunta Mike B 13.04.2018 - 16:56
fuente

2 respuestas

1

Los requisitos comerciales lo exigen todo. Incluso opciones inseguras, caras, obsoletas o incluso ilegales. El negocio define el SLA, define la arquitectura, define qué revelarán y qué no. Define qué impuestos pagarán y cuáles evadirán.

Si la empresa declara que la nueva infraestructura debe ejecutarse en MS-DOS, Netware y Ethernet 10base2, ¿qué hará? ¿Se niega a trabajar, intenta cambiar las mentes de los directores o va a eBay a comprar una bolsa de conectores BCN ?

La seguridad generalmente no se implementa porque la empresa la quiere, pero generalmente porque se ven obligados a hacerlo. La seguridad es vista como una sincronización de dinero. No se gana nada directamente del gasto en seguridad, por lo que la administración suele gastar más en personas, marketing y servidores. Es un área que no muestra nada cuando las cosas van bien, pero se hace a la parrilla cuando las cosas no van bien.

    
respondido por el ThoriumBR 13.04.2018 - 18:04
fuente
1

El SLA está en vigencia para exigir que se alcancen los niveles de servicio para cumplir con los requisitos comerciales. Requisitos de negocio triunfa sobre todo lo demás. Recibo su razonamiento anterior, pero los SLA no son independientes y se ubican entre los controles de seguridad y los requisitos comerciales. El SLA se puede usar para medir los controles de seguridad, pero están implementados para cumplir con los requisitos comerciales en lugar de hacerlo solo por el bien.

    
respondido por el AndyMac 13.04.2018 - 17:07
fuente

Lea otras preguntas en las etiquetas

¿Cómo proteger el Shadow Stack? ¿Por qué TLS no firma ciphersuite?