Comprendre votre utilisation de nuage et de l'exposition
« Cochez cette case pour accepter les termes et conditions de ce site/application/service. »Sans doute, vous avez vu ce nombre incalculable de fois, mais avez-vous lu les 30 pages conditions chaque fois que vous vous inscrivez pour un nouveau service de Cloud Computing ? Quand il s'agit d'informations confidentielles de votre entreprise, vos employés sont téléchargement et téléchargement des données de nombreux services sans avoir lu les petits caractères. Ces licences contiennent des détails tels que qui est propriétaire de la propriété intellectuelle, que vous téléchargez sur le site et qu'advient-il de vos données si le fournisseur de cloud cesse ses activités.
Exemple de la vie réelle :
Un exécutif Finances dans une entreprise du Fortune 500 téléchargées une présentation confidentielle à un service populaire présentation nuage, donc elle pourrait présenter ses résultats financiers trimestriels sur la route. Ce qu'elle ne savais pas que c'était que même si la présentation n'a pas été rendue publics, en le téléchargeant sur le site elle accordée service présentation nuage une licence d'utilisation de grande envergure et irrévocable pour le contenu de la présentation. Cet élément d'information clé était caché dans les modalités du site, et il n'avait aucun programme en place pour identifier ces risques juridiques et de sensibiliser les employés.
Liste de contrôle pour protéger votre entreprise :
1. Créer un inventaire des services cloud employés utilisent en analysant les fichiers de périphériques de sortie (firewalls, proxies, SIEMs)
2. Effectuer des évaluations des risques périodiques sur les services de sécurité du nuage et de comparer les risques pour la sécurité juridiques et d'affaires dans les services
3. Mise à jour des employés comme le profil de risque des augmentations services couramment utilisés
Créez une stratégie de sécurité données et mettre en application
Si vous êtes comme la plupart des entreprises, vous avez probablement politiques pour quels types de dispositifs peuvent accèdent à votre réseau d'entreprise et quels services cloud sont autorisés ou bloqués par un pare-feu. Mais ensuite, il y a des exceptions, comme lorsque le Marketing obtient l'autorisation d'utiliser Twitter. Selon votre solution de pare-feu, vous pouvez vous retrouver permettant une catégorie large « médias sociaux » qui comprend de nombreux services plus risqués, ou même sans rapport avec les services qui ont été classés par erreur. Si vous êtes bloquer Twitter vous devez également bloquer des sites de tiers et des applications qui servent de proxies de Twitter, comme TweetDeck et HootSuite.
Exemple de la vie réelle :
Une grande institution financière américaine systématiquement bloqué l'accès aux services de stockage de nuage sur leur réseau. Toutefois, cadres demande une exception politique qui leur a permis un accès au service de sauvegarde en nuage, leur équipe devait débloquer la catégorie stockage cloud ensemble, qui comprenait également des services à risque plus élevé comme 4shared et gouttes. En fin de compte, plusieurs utilisateurs ont commencé à l'aide de ces autres services pour stocker des informations confidentielles, niveau carte, plaçant l'entreprise au risque juridique et de conformité.
Liste de contrôle pour protéger votre entreprise :
1. Réunir les il, sécurité de l'Information, conformité et juridique pour développer une politique globale pour quels dispositifs et services cloud sont autorisés.
2. Régulièrement vérifier l'exécution des politiques dans l'ensemble de vos solutions de pare-feu dans le monde entier pour assurer une application cohérente
Comme une étape supplémentaire, arrêter les informations personnellement identifiables (PII) de quitter la société en élargissant vos solutions DLP de services cloud.