Begrijpen uw wolk gebruik en blootstelling
"Schakel dit selectievakje in om de bepalingen en voorwaarden van deze website/app/dienst te accepteren."Ongetwijfeld heb je gezien dit ontelbare keren, maar leest u de 30-pagina bepalingen en voorwaarden telkens u voor een nieuwe wolk service aanmelden? Als het gaat om uw vertrouwelijke bedrijfsinformatie, zijn uw medewerkers uploaden en downloaden van gegevens tot vele diensten zonder het lezen van de kleine lettertjes. Deze licenties bevatten details, zoals wie de eigenaar is van de intellectuele eigendom die u naar de site uploaden en wat gebeurt er met uw gegevens als de wolk leverancier failliet gaat.
Praktijkvoorbeeld:
Een Financiën executive bij een Fortune 500 bedrijf geüpload een vertrouwelijke presentatie naar een populaire cloud-gebaseerde presentatie service, zodat ze kon presenteren driemaandelijkse financiële resultaten terwijl op de weg. Wat ze niet beseffen is dat hoewel de presentatie was niet publiekelijk gedeeld, door het te uploaden naar de site ze verleend cloud-gebaseerde presentatie dienst een verreikend en onherroepelijke gebruik licentie voor de presentatie inhoud. Dat belangrijke stukje informatie was verborgen in de bepalingen en voorwaarden van de site, en het had geen programma in de plaats om te identificeren deze juridische risico's en opleiden van werknemers.
Controlelijst ter bescherming van uw organisatie:
1. Maak een inventaris van de wolk diensten werknemers gebruikt door het analyseren van bestanden van egress apparaten (firewalls, proxies, SIEMs)
2. Voer periodieke risicobeoordelingen op Cloud veiligheidsdiensten en juridische en zakelijke veiligheidsrisico's van diensten met elkaar vergelijken
3. Update werknemers als het risicoprofiel van de verhogingen van de volksmond gebruikte diensten
Een gegevens-beveiligingsbeleid maken en te handhaven
Als je net als de meeste bedrijven, hebt u waarschijnlijk beleid voor welke soorten apparaten kan toegang tot uw bedrijfsnetwerk en welke wolk diensten worden toegestaan of geblokkeerd door uw firewall. Maar dan zijn er uitzonderingen, zoals wanneer Marketing krijgt toestemming om te gebruiken Twitter. Afhankelijk van uw firewall-oplossing, kan je uiteindelijk waardoor een brede "social media" categorie waarin talrijke risicovollere diensten, of zelfs niet-verwante diensten die hebben zijn misclassified. Als u bent Twitter blokkeert wilt u ook blokkeren van sites van derden en apps die als proxy's Twitter, zoals TweetDeck en HootSuite fungeren.
Praktijkvoorbeeld:
Een grote financiële instelling voor US-based routinematig geblokkeerd toegang tot cloud opslagdiensten via hun netwerk. Echter, leidinggevenden desgevraagd een orde-exceptie die manier ze toegang tot cloud-gebaseerde back-up service konden, hun IT-team had om te ontgrendelen de categorie opslag van hele wolk, waaronder ook hoger risico diensten zoals 4shared en DropSend. In het einde, meerdere gebruikers begon met behulp van deze andere diensten voor het opslaan van vertrouwelijke, board-niveau informatie, het bedrijf op het juridische en compliance risico zetten.
Controlelijst ter bescherming van uw organisatie:
1. Breng samen het, informatiebeveiliging, Compliance en juridische te ontwikkelen van een alomvattend beleid voor welke apparaten en wolk diensten zijn toegestaan.
2. Regelmatig controleren de handhaving van het beleid over uw firewalloplossingen wereldwijd om consistente handhaving te waarborgen
Als een extra stap, stoppen met persoonlijk identificeerbare informatie (PII) van het verlaten van het bedrijf door uw oplossingen DLP voor wolk diensten uit te breiden.