每当听到“将这个文件发到我的Gmail”这句话在办公室回荡的时候,任何IT专家都会意识到阻止这些员工使用公司外部电子设备开展工作的难度有多大,尤其是那些公司设备供应商所提供的服务无法完全满足这些员工的需求时。
那些奇怪的电子邮件可能还不是引起安全专家头疼的原因,但是因为云计算和SaaS(">软件即服务)可以以低廉的价格提供一些正常的商业应用和大量的数据储存,危险伴随滥用云应用而来。
同时,越来越多的人开始对商务云应用软件(cloud apps)感兴趣,因此,CIO需要与供应商和企业内部部门合作来降低风险。
CIO们对安全性的顾虑分为两个部分。首先,如何保护数据?存在于客户和应用主机数据间的“飞行模式”通常由HTTPS或其他安保渠道同时进行保护,这些基本是由供应商提供的。然而,使用中的数据也是要被列入考虑范围之内的,但是,使用加密术却是不寻常的。与此同时,供应商不得不在数据的安全处理上制定流程。
第二个安全顾虑是进入数据。当员工从不同供应商处使用多个程序的时候,经常会使用一样的密码。难以置信的是,他们还会把这些密码写下来,贴在桌子上以便提醒自己。管理这些可用性,在多个程序中进行安全单点登录才是真正的挑战。
幸运的是,现在已经出版了一些通过安全问题的云能帮助CIO自测的单子。
以下这个单子来自Forrester,建议按以下几个领域进行不同的安全保护:
数据保护
漏洞管理
身份认证管理
物理和员工管理
可利用率
应用安全
反应发生率
隐私
这个单子列出了一系列IT领导们调查供应商时所要考虑的问题,比如说:“你会对所有相关人员进行后台检查么?这些检查的规模有多大?”这个单子同时也可以被看作是供应商需要遵守的技术标准。
虽然云扩大了IT安全问题,但是其实内部IT已经被自身的问题严重困扰。病毒、黑客和落后的数据管理这些情况,实际上比他们承认的更多发。
(责任编辑:蒙遗善)