Sombras IT: Realidad del abrazo – detectar y asegurar las nube herramientas sus empleados utilizar


nube herramientas como Dropbox, Google Docs, correo privado, los medios de comunicación social y otros servicios compartirlas crean problemas para los empleadores. Por un lado permiten a empleados trabajar a través de múltiples ubicaciones sin necesidad de herramientas de colaboración caro. Por otra parte, a menudo carecen de una seguridad adecuada y crear puertas traseras en la red corporativa. Para la mayoría de los departamentos IT tiene prohibición de plano no es una opción, necesitan encontrar formas de manejar esta nueva forma de trabajar.

¿dónde está el daño?

los peligros son reales. Muchos ataques de ransomware han sido distribuidos a través de sitios de almacenamiento de nube libre donde el acceso no es adecuadamente controlado. Mientras que muchos empleados (aunque no todos) han aprendido a no abrir archivos adjuntos de correo electrónico sospechoso o documentos desde la web, hay una asunción general que archivo compartir sitios son seguros – que lleva a la gente para abrir los enlaces a los documentos compartidos a través de dichas plataformas.

ataques maliciosos son sólo parte del problema. Copia de seguridad de documentos para estas plataformas significa que los datos están ahora fuera de la red de la empresa y fuera de su control. Así que ¿qué tan seguro es? ¿Se puede acceder desde dispositivos privados empleados, que podrían perderse o izquierda desbloqueado? ¿Podría su ser adivinada fácilmente la contraseña? ¿Puede crear enlaces a carpetas privadas compartidas, que los hackers pueden identificar? ¿

bloqueo hasta sus datos o establecer libre?

cuando se trata de hacer frente a esto, hay dos enfoques ampliamente diferentes. Podría bloquear todo, proporcionar herramientas de aprobado y prohibir personal de instalar nada nuevo. O, podría decirle a empleados que confía en ellos, les damos algunos consejos de seguridad y espero que no hagan cometer errores terribles.

el primer acercamiento es absolutamente correcto si usted es una empresa de defensa o una ley firme que objetivo de M & A. para la mayoría de las empresas – especialmente las PYMES – es innecesariamente restrictiva, para no hablar de prohibitivo. La segunda forma, sin embargo, conlleva riesgos muy evidentes del tipo descrito anteriormente.

mayoría de las empresas quiere un término medio, que equilibra la seguridad con el fomento de una cultura de trabajo colaborativo y de confianza.

lo que se necesita es un enfoque inteligente, adaptable, que reconoce que no toda la información es igual. Muchos documentos están muy bien para compartir. Pocos jefes quieran decir que un empleado no puede trabajar desde casa para cuidar a su niño enfermo ya que el plan fuera del encuentro no puede dejar la red corporativa. Pero igualmente, no quieren múltiples copias de las listas de sueldo o documentos de propiedad intelectual existentes en los archivos adjuntos de correo electrónico y unidades de disco en la nube. Además hay otros documentos que serían ‘seguros’ compartir si no incluyeron piezas específicas de información. Por ejemplo compartir una orden con un socio logístico, pero no la tarjeta de crédito o datos bancarios utilizados.

un enfoque adaptativo de datos

suponiendo que no estamos en una industria de alta seguridad y han llegado a un acuerdo con el hecho de que sus empleados desean utilizar herramientas de nube, aquí es cómo defendemos dirigiendo este desafío:

en primer lugar, saber lo que usted está para arriba contra. ¿Cuál es la información crítica y donde se encuentra? Fácil de preguntar, pero las respuestas puede sorprenderlo. Adecuadamente no puede proteger información de una manera rentable, si no sabes lo que es proteger y donde necesita protección.

sistema de Data Loss Prevention (DLP) año efectivamente configurado puede monitorear los límites de su actividad de transferencia de datos y red. Profesionales de TI pueden usar este punto datos dejando fuera de los canales conocidos, por ejemplo los sitios de colaboración están en uso y por que. Con este conocimiento, puedan tomar decisiones inteligentes acerca de si estas herramientas de colaboración y prácticas de trabajo son aceptables y educar a los empleados sobre cómo usarlas con seguridad.

comprender contenido que puede y no puede salir de la red corporativa. No es necesario bloquear todo, pero puede establecer su sistema de seguridad para detener completamente o escribir información específica sólo (números de tarjetas de crédito, números de Seguridad Social, bases de datos de cliente, etc.) si pasa a través de los límites de la empresa. Esto se aplica tanto por correo electrónico y plataformas de colaboración basado en la nube.

política de decisiones basadas en lo que es y no es permitido don t sólo tienen que basarse en el contenido, también pueden ser sensibles al contexto. Si Ted en Legal carga documentos IP a la plataforma de colaboración del abogado de su IP, está probablemente bien. Si Bill el pasante envía el documento mismo en su unidad de Google, probablemente no es.

malware de hoy con frecuencia se entrega documentos aspecto inofensivo, que empleados abran accidentalmente. Una solución DLP adaptación innovadora puede pelar automáticamente contenido activo de documentos entrantes para prevenir las infecciones de malware. Esto protege contra el problema de ransomware Dropbox: si alguien ha descargado o recibido un documento que contiene un archivo ejecutable diseñado para ejecutar un virus, se eliminarán al entrar en la red.

igualmente, pelando a meta – información de historial de datos y revisión de documentos que salen de la red puede también proteger de problemas. Pocas personas se dan cuenta que los documentos contienen información oculta acerca de quienes trabajaron en el documento que sirve para los estafadores y las revisiones del documento se han utilizado en un número de pérdidas de datos de alto perfil. El mejor enfoque para evitar que el problema es quitar de forma predeterminada.

por supuesto la tecnología sólo puede hacer mucho, tiene que haber empleado educación y concientización sobre los riesgos. Necesitan ayuda para entender qué herramientas pueden y no pueden utilizar, y lo que pueden y no pueden compartir la información. Tecnología es ideal para respaldar la decisión y evitar errores, pero la educación puede crear un cambio cultural.

una colaboración segura organización y

las soluciones tecnológicas que discutir aquí – y, por supuesto contar novedades de Clearswift entre ellos – son más rentables que nunca y pueden añadirse fácilmente a la infraestructura de seguridad existente, eliminando la necesidad de un rip y cambie de estrategia. PYMES en particular, que una vez carecía del presupuesto para las herramientas de la seguridad del especialista, ahora son capaces de tomar ventaja de las nuevas tecnologías rentables para hacer frente a las amenazas actuales.

combinando estas tecnologías con las políticas y la formación, las organizaciones pueden tomar un enfoque adaptativo para colaboración, manteniendo la información crítica segura aprovechando la riqueza de nuevas herramientas de organización ágil de hoy necesita.

sobre el autor

Guy Bunker, Clearswift. Credit: Professional Images

Guy Bunker, Clearswift
crédito: imágenes de Professional

Dr. Guy Bunker, por favor productos, Clearswift

chico tiene más de experiencia 20 años en seguridad de la información y gestión. Antes de ingresar en el 2012 de Clearswift, Guy fue un arquitecto de seguridad Global para HP. Anteriormente, el chico fue jefe científico para Symantec y CTO de la división de gestión de servicio en Veritas y aplicación.

es un ponente con frecuencia en conferencias como RSA, EuroCloud y seguridad de la información. Él es un consejero de varias empresas de tecnología pequeña y tiene un número de patentes ha publicado libros sobre la prevención de pérdidas de datos, backup y computación de utilidad nosotros. Recientemente escribió un libro sobre seguridad para el informe técnico de la seguridad de información Elsevier y coautor de la red europea y la Agencia de seguridad de información (ENISA) Informe sobre la seguridad en la nube.

Deja un comentario