Capire il vostro utilizzo del Cloud e dell'esposizione
"Questa casella per accettare i termini e le condizioni di questo sito/servizio/app."Senza dubbio hai visto questo innumerevoli volte, ma leggete la pagina 30 termini e condizioni ogni volta che ti iscrivi per un nuovo servizio di cloud? Quando si tratta di informazioni riservate della società, i dipendenti sono caricando e scaricando dati a molti servizi senza leggere la stampa fine. Queste licenze contengono dettagli come chi possiede la proprietà intellettuale che caricare sul sito e cosa succede ai vostri dati, se il provider di nuvola va fuori dal mercato.
Esempio reale:
Un esecutivo di finanza presso un'azienda Fortune 500 caricati una presentazione riservata a un servizio di presentazione popolare basato su cloud, così lei poteva presentare risultati finanziari trimestrali, mentre sulla strada. Quello che lei non avevo capito era che anche se la presentazione non era condiviso pubblicamente, caricandolo sul sito ha concesso il servizio basato su cloud presentazione una licenza di utilizzo di vasta portata e irrevocabile per contenuto della presentazione. Quel pezzo di informazioni chiave era nascosta in termini e condizioni del sito, e non aveva nessun programma in grado di identificare questi rischi legali e di educare i dipendenti.
Lista di controllo per proteggere l'organizzazione:
1. Creare un inventario dei servizi cloud dipendenti utilizza analizzando i file da dispositivi di uscita (firewall, proxy, SIEMs)
2. Eseguire la valutazione periodica del rischio sui servizi Cloud Security e confrontare i rischi di sicurezza legali e commerciali attraverso servizi
3. Aggiornamento dipendenti come il profilo di rischio di aumenti dei servizi comunemente usato
Creare un criterio di protezione di dati e applicarla
Se siete come la maggior parte delle aziende, probabilmente avete politiche per quali tipi di dispositivi possono accedono alla rete azienda e quali servizi cloud sono consentiti o bloccati da firewall. Ma poi ci sono eccezioni, come quando Marketing ottiene il permesso di usare Twitter. A seconda della vostra soluzione di firewall, si può finire per permettendo una categoria vasta "social media" che comprende numerosi più rischiose, o anche indipendenti servizi che sono stato classificato erroneamente. Se mi stai bloccando Twitter è inoltre necessario bloccare applicazioni che fungono da proxy di Twitter, come TweetDeck e HootSuite e siti di terze parti.
Esempio reale:
Una grande istituzione finanziaria statunitense ordinariamente bloccato l'accesso a servizi di cloud storage sulla loro rete. Tuttavia, quando dirigenti richiesto un'eccezione di politica che ha permesso loro l'accesso al servizio di backup basato su cloud, loro team IT dovuto sbloccare la categoria di archiviazione cloud intero, che comprendeva anche i servizi di alto rischio come 4shared e DropSend. Alla fine, molti utenti ha iniziato a usando questi altri servizi per memorizzare informazioni riservate, a livello di scheda, mettendo l'azienda a rischi legali e di conformità.
Lista di controllo per proteggere l'organizzazione:
1. Riunire, Information Security, Compliance e legale per sviluppare una politica globale per quali dispositivi e servizi cloud sono ammessi.
2. Regolarmente controllare l'esecuzione delle politiche attraverso le soluzioni di firewall in tutto il mondo per garantire l'applicazione coerente della
Come un ulteriore passaggio, interrompere informazioni di identificazione personale (PII) di lasciare l'azienda estendendo le soluzioni DLP ai servizi cloud.