Entender seu uso de nuvem e exposição
"Marque esta caixa para concordar com os termos e condições deste site/app/serviço."Sem dúvida você viu isso inúmeras vezes, mas ouvindo a 30-página termos e condições cada vez que você se inscrever para um novo serviço de nuvem? Quando se trata de informações confidenciais da sua empresa, seus funcionários são upload e transferindo dados para muitos serviços sem ler a cópia fina. Essas licenças contêm detalhes como quem detém a propriedade intelectual que você fazer o upload para o site e o que acontece com seus dados, se o provedor de nuvem sai do negócio.
Exemplo da vida real:
Um executivo de finanças em uma empresa da Fortune 500 carregado uma apresentação confidencial para um serviço popular apresentação baseada em nuvem, assim ela poderia apresentar resultados financeiros trimestrais, enquanto na estrada. O que ela não sabia era que mesmo que a apresentação não foi compartilhada publicamente, por meio de upload para o site ela concedido serviço apresentação baseada em nuvem uma licença de uso amplo e irrevogável para o conteúdo da apresentação. A peça chave da informação estava escondida nos termos e condições do site, e ele tinha nenhum programa para identificar esses riscos legais e educar os funcionários.
Lista de verificação para proteger sua organização:
1. Criar um inventário dos serviços de nuvem, os funcionários estão usando analisando arquivos de dispositivos de saída (firewalls, proxies, SIEMSA)
2. Realizar avaliações de risco periódicas sobre os serviços de segurança da nuvem e comparar os riscos de segurança jurídicos e de negócios em serviços
3. Atualizar os funcionários como o perfil de risco dos aumentos de serviços popularmente usado
Criar uma diretiva de segurança de dados e aplicá-la
Se você for como a maioria das empresas, você provavelmente tem condições para quais tipos de dispositivos podem acessar sua rede corporativa e quais serviços em nuvem são permitidos ou bloqueados pelo firewall. Mas existem exceções, como quando Marketing Obtém permissão para usar o Twitter. Dependendo de sua solução de firewall, você pode acabar permitindo uma categoria ampla "social media" que inclui numerosos serviços mais arriscados ou mesmo independentes serviços que têm sido erroneamente classificados. Se você está bloqueando o Twitter, você também precisa bloquear sites de terceiros e aplicativos que servem como proxies do Twitter, como TweetDeck e HootSuite.
Exemplo da vida real:
Uma grande instituição financeira norte-americana rotineiramente bloqueou o acesso a serviços de armazenamento de nuvem sobre a sua rede. No entanto, quando os executivos solicitou uma exceção de política que lhes permitiu o acesso ao serviço de backup baseado em nuvem, sua equipe de ti tinha que desbloquear a categoria de armazenamento nuvem todo, que também incluiu serviços de alto risco como 4shared e gotas. No final, vários usuários começaram a usar esses outros serviços para armazenar informações confidenciais, a nível de placa, colocando a empresa em riscos legais e de conformidade.
Lista de verificação para proteger sua organização:
1. Reunir, segurança da informação, Compliance e legais para desenvolver uma política global para que dispositivos e serviços em nuvem são permitidos.
2. Regularmente, auditar a execução das políticas através de suas soluções de firewall para garantir a aplicação consistente em todo o mundo
Como uma etapa extra, impedi que informações de identificação pessoal (PII) Deixe a empresa estendendo suas soluções DLP para serviços em nuvem.