在我的上一帖子,我们讨论了最新的非IT部门组织大型和小型的习惯:孵化流氓IT运作在云上,把你的公司的数据在野外兜风,野生Web应用补丁,不受保护的,几乎检测不到。
回顾一下,这一趋势涉及部门通过供应商在线购买服务像亚马逊网络服务,谷歌服务,微软Azure和其他人建立灰色外面操作您的组织的边界。
这些部门已经开始依赖于这些服务的开展业务。关闭他们不是一个选择。我们现在需要处理的情况。
我们面对什么?
首先,为什么你的用户被迫开店的乐队吗?他们只是懒惰顽固分子拒绝遵守oh-so-onerous安全性和遵从性需求吗?或者,他们觉得你部门不够响应他们的需求,和流氓是唯一的方法来得到这些需求的满足?或者他们只是觉得他们其实是拯救每个人的时间和精力?
忽略你的烦恼交会,做一个小灵魂搜索:有可能是你做(或不做)这种做法打开门吗?继续问他们(轻轻地)。你可能会学到有价值的东西,可以帮助你防止其他流氓云操作之后。
(还在方案:流氓:隐藏的发射塔]
接下来,新的基于云的应用程序必须与贵公司已填充的数据是有用的,对吧?怎么那么多业务数据漏出发生没有你的知识吗?退出你的边界防火墙吗?有人带着一个未加密u盘在他们的口袋里?
这是一个普遍的假设终端用户(有时甚至是It部门)移动应用程序和服务的云会奇迹般地减少合规和审计要求。在现实中,在范围和审计工作量增加了困难,和云提供商并不总是感到有必要配合审计人员。
最后,如果你的最终用户所做的努力满足您的组织的安全需求,他们有资格这样做吗?例如,如果您的数据驻留在云是加密的,加密密钥的管理正常吗?有人读过合同细则之前漏出贵公司的数据吗?数据改变了法律所有权时搬到别人的电脑?
通过仔细研究这些问题,你将能够识别盲点和黑洞可以塞现在,以免更多流氓云恶作剧之后。
(错过了这篇文章的第一部分?赶上在这里)。