Entender su nube uso y exposición
"Marque esta casilla para aceptar los términos y condiciones de este sitio web/aplicación/servicio".¿Sin duda has visto infinidad de veces, pero lees la página 30 términos y condiciones cada vez que te inscribes en un nuevo servicio en la nube? Cuando se trata de información confidencial de su empresa, sus empleados son cargar y descargar datos a muchos servicios sin leer la letra pequeña. Estas licencias contienen detalles tales como quién es dueño de la propiedad intelectual que cargue en el sitio y que pasa con sus datos si el proveedor de la nube sale del negocio.
Ejemplo de la vida real:
Un ejecutivo de Finanzas en una compañía Fortune 500 había subido una presentación confidencial a un servicio de presentación popular basado en la nube, así que ella podría presentar resultados financieros trimestrales en el camino. Lo que ella sabía era que aunque la presentación no era compartida públicamente, por subirlo al sitio otorgan servicios basados en cloud presentación una licencia de uso de gran alcance e irrevocable para el contenido de la presentación. La pieza clave de la información estaba escondida en los términos y condiciones del sitio, y no tenía ningún programa para identificar estos riesgos legales y educar a los empleados.
Lista de comprobación para proteger a su organización:
1. Creará un inventario de los servicios en la nube empleados utilizan mediante el análisis de los archivos de los dispositivos de salida (firewalls, proxys, SIEMs)
2. Realizar evaluaciones de riesgo periódica sobre los servicios de seguridad en la nube y comparar los riesgos de seguridad legales y de negocios a través de servicios
3. Actualización de los empleados como el perfil de riesgo de aumentos de servicios popularmente usados
Crear una política de seguridad de datos y cumplir
Si eres como la mayoría de las empresas, probablemente tengan políticas de tipos de dispositivos pueden accedan a su red corporativa y que servicios en la nube están permitidos o bloqueados por el cortafuegos. Pero hay excepciones, como cuando Marketing obtiene permiso para usar Twitter. Dependiendo de su solución de cortafuegos, usted puede terminar permitiendo una categoría amplia "social media" que incluye numerosos servicios más riesgos, o incluso sin relación servicios que han sido mal clasificados. Si estás bloqueando Twitter también necesita bloquear sitios de terceros y aplicaciones que sirven como proxies de Twitter, como TweetDeck y HootSuite.
Ejemplo de la vida real:
Una gran institución financiera estadounidense rutinariamente había bloqueado el acceso a servicios de almacenamiento nube sobre su red. Sin embargo, cuando los ejecutivos solicita una excepción política que les permitiera el acceso a servicio de backup basado en la nube, su equipo tuvo que abrir la categoría de almacenamiento nube entera, que también incluye servicios de alto riesgo como 4shared y DropSend. Al final, varios usuarios empezaron a utilizar estos otros servicios para almacenar información confidencial, nivel de placa, arriesgando la empresa legal y cumplimiento de normas.
Lista de comprobación para proteger a su organización:
1. Reunir, seguridad de la información, cumplimiento y Legal para desarrollar una política integral para qué dispositivos y servicios en la nube están permitidos.
2. Regularmente auditar el cumplimiento de las políticas a través de sus soluciones de firewall en todo el mundo para garantizar la aplicación coherente
Como un paso extra, deja de información personal identificable (PII) de dejar la empresa ampliando sus soluciones DLP para servicios en la nube.