盗贼云服务翻录大多数公司的安全结构大洞,把CIO在一个艰难的位置。但是,从目标的攻击显示的余波,IT和企业领袖年会,如果违反打扇下去在一起。
CIO迈克尔·吉时利曾在好莱坞的人才公司创新艺人经纪的顶级技术职位将近一个世纪的四分之一,所以你会觉得他知道在公司只是一切事情技术上。他也这么认为。
吉时利想通有创新艺人经纪公司的全球企业网络上运行的50个左右的云服务,但决定要确保。
他运行了Skyhigh的云安全软件,该软件将光线投射到“影子IT”上,而这份报告吐出了一个令人震惊的数字:有1600多个云服务在运行。一些最糟糕的网站来自东欧集团,它们显然试图欺骗人们交出敏感数据。
首席信息官可以告诉业务经理,如果你选择冒险……数据被泄露了,将会是你和我在董事会面前,而不仅仅是我一个人。”-- Rajiv Gupta, Skyhigh
基思利说:“一旦你克服了差距带来的冲击,你就会看到这些服务的风险状况,那简直是彻头彻尾的可怕。”
cio成为云的推动者
流氓云服务在一家公司的安全结构上撕开了一个大口子,使公司和CIO都处于严重的风险之中。然而,流氓云服务也表明,急需精通技术的咨询师(或云服务经纪人)来修补漏洞、维护合规、协商云服务合同和执行服务水平协议,因为许多云服务提供商提供的服务质量低劣。
与流氓云服务的巨量面对,吉时利的第一反应是阻止他们 - 但是这将解决不了任何问题。毕竟,它的历史堵不熟悉的技术的最有可能首先催生了这些流氓云服务。相反,吉时利需要他的IT部门的声誉从阻滞剂改变的推动者。
[有关:为什么CIO们应该不会阻止盗贼云应用]
首先,吉思利请首席法律顾问对员工进行培训,告诉他们为什么需要关闭风险最高的云服务;让律师做坏人,而不是CIO。
对于中、低风险的网站,吉思利的团队创造了一个更有吸引力的选择。大约有60家流氓云服务涉及文件、同步和共享等多种类型,这意味着它们传输了潜在的敏感企业数据。
吉时利发出了RFP,上盒解决,理顺企业的许可协议。然后,他集成箱与单点登录并添加配置和连接到HR系统,使新员工将自动获得一个盒子账号。
获得业务支持
吉时利投盒包装到业务线经理和其他关键影响力,要求他们使用,而不是他们的流氓云服务这一点。在买的经理,这是吉时利如何成为云推动者。CIO需要承认,他们的角色正在发生变化,他说,因此他们必须在垃圾堆,被称为其他类型的CIO的发展或最多 - 那就是“职业生涯已经结束了。”
当然,这谈何容易。使问题更糟糕,似乎有超过CIO的商业头脑悬殊,绝对要求是一个云顾问。
最近红帽的调查显示高科技高管的评级业务的知识,无论是“优秀”或78%的“良好”,66%的人说他们的接受程度,从业务单位评为“优秀”或即将到来的新思路“好。”然而,流氓云服务下划线了许多业务线经理想想CIO们的爆炸:不可信阻滞剂业务流程谁必须保持循环了。
在这个繁忙的十字路口的心脏在于数据丢失和下降沿不符合的,其中一飞冲天与云服务的可能性的风险。如何危险的情况呢?只要遵循的逻辑。
[有关:云应用蓬勃发展,cio们开始扮演新的角色]
平均使用759云服务的组织,从626最后一个季度,根据基于830万个用户擎天数据。总体而言,在擎天的数据库中找到的3571个的云服务,只有7%被认为是企业准备。更糟糕的是,5%被认为是高风险的。所有相吻合,一个三个云服务出来的弱点是心脏出血漏洞
它会变得更糟
野蛮人也在门口。恶意软件作者已经死去的针对云服务贩卖业务关键数据:16%的公司有异常云存储数据访问服务如信用卡号码、健康记录和社会安全号码,这意味着恶意软件被用来秘密访问业务服务,比如Salesforce或工作日,根据在高空。
大多数情况下,首席信息官对此无能为力。与Creative Artists Agency的情况一样,绝大多数云服务都不受CIO的关注。平均而言,IT部门只知道公司使用了5%到8%的云服务。
Skyhigh首席执行官拉吉夫•古普塔(Rajiv Gupta)表示:“这不是猜测,也不是夸张,也不是我多愁善感——这是基于事实的数据。”“这就是你现在要承担的风险。”
由CIO们知道,即使云服务并不一定是安全的避风港。WinMagic的安全性调查发现,IT的35%的决策者允许员工在工作场所使用个人云存储。只有六人认为他们的公司已经实施加密功能的平板电脑和手机。
在这条路的尽头,巨额美元悬而不决。波耐蒙研究所(Ponemon Institute)的数据显示,美国公司因数据泄露而造成的平均损失从去年的540雷竞技比分万美元跃升至今年的590万美元。
可能不公平的是,cio们不得不确保泄露的云服务以及他们甚至不知道的流氓云服务的安全性和遵从性。首席信息官们无法控制——也就是说,阻止——许多流氓云服务;他们只能就风险问题向业务部门经理提出建议。
听起来像一个没有双赢的局面,对吧?
挂在一起或分开挂
创新艺人经纪公司吉时利说提醒业务线经理,他们的责任分担是很重要的。他通过指出最近的案例涉及零售巨头目标这样做。在12月,它的标题,席卷数据泄露导致CIO贝丝雅各布落在她的剑三个月后。
虽然在一次广为人知的泄密事件之后,技术主管被解雇是很常见的事情,但雅各布并不是唯一这样做的人。随着塔吉特公司总裁兼首席执行官格雷格·斯泰因哈费尔(Gregg Steinhafel)于本月辞职,此事最终影响到了塔吉特的最高商业职位。
基思利告诉业务经理,每个人都会为数据泄露付出代价。云服务的风险更高,特别是未经IT审查的流氓云服务。
再有就是直接的方法。
“CIO们可以告诉企业管理者,如果你选择去冒这个险,勇往直前,”古普塔说。“但是明天如果有违反和数据被破坏,如果合规性要求得不到满足,那么这将是你和我在董事会面前,不只是我一个人。”
汤姆Kaneshige包括苹果,BYOD和IT消费化对CIO.com。按照汤姆的Twitter@kaneshige。在Twitter上关注CIO.com上的一切@CIOonline,脸谱网,谷歌+和LinkedIn。电子邮件汤姆tkaneshige@cio.com
阅读更多关于cio角色的信息在CIO的CIO角色追溯。
这个故事,“CIO发现的云应用野兽的‘恐怖的’现实”最初发表首席信息官 。