Introduzione
La mia azienda è attualmente sottoposta alla conformità ISO27001. Originariamente pensavo che si trattasse di un problema puramente tecnico, con il merito di diverse soluzioni valutate su basi puramente tecniche. Tuttavia, sto arrivando a capire che sembra esserci un certo pregiudizio nei confronti di determinate soluzioni su basi non tecniche.
Ad esempio, se un servizio di condivisione file è estremamente popolare e utilizzato dal pubblico, sembra esserci una resistenza automatica contro di esso per uso aziendale con dati sicuri, anche se ha superato un controllo di sicurezza, e persino se usato in combinazione con un ulteriore livello di sicurezza di un'azienda diversa.
O per esempio, sembra esserci una percezione da parte dei clienti, che un server che si trova a 5000 miglia di distanza, è meno sicuro di un server seduto accanto, anche se a livello tecnico questo sembra essere falso, e tutto dipende da come è stato impostato tutto.
Pertanto, vorrei sottolineare che "il rischio percepito" è un fattore di conformità ISO27001 oltre al "rischio tecnico".
Non è che le cose non possano essere spiegate agli auditor. Ma preferirei partire da una posizione strong, piuttosto che dal dover difendermi.
La ragione di questa introduzione un po 'lunga è spiegare perché sto facendo una domanda che potrebbe invitare "opinioni" piuttosto che "fatti" (come notato nei commenti alla mia domanda originale)
La domanda
Il nostro database SQL Server 2012 si trova attualmente sullo stesso server dell'applicazione. Si raccomanda che l'applicazione sia completamente separata dal database.
Ho pensato che potremmo spostare il database di SQL Server sulla piattaforma Microsoft SQL Server Azure 2016, che sarebbe sostanzialmente più economica rispetto all'acquisto e alla gestione di un server separato.
Presumo che il rischio effettivo (in termini di sicurezza delle informazioni) dell'utilizzo della piattaforma SQL Server Azure 2016 non sia maggiore di quello di configurare un server separato. Tuttavia, il mio manager è preoccupato per il rischio percepito . Ritiene che avere i dati lontani e "meno nel nostro controllo" possa far sentire meno sicuri i nostri clienti.
Sarei corretto nel dire che sarebbe una pratica standard del settore per grandi preoccupazioni (come la banca) utilizzare tali servizi come SQL Server Azure 2016? O sono un "no-no"?