警惕基于云的影子应用

互联网 | 编辑: 何毅 2014-09-09 05:00:00转载

很多公司的CIO并具备采购权限,这需要CIO紧密和CFO以及CPO(首席采购官)协作,建立一套自上而下的检查体系。比如清查所有采购的云服务产品,培训相关部门的员工风险意识。

致力于研究公司IT治理、风险和合规的Gartner分析师 French Caldwell对上周会见的一个客户印象深刻:“这家公司的首席执行官具有很高的‘执行力',当他想完成某事时,他会在各种举措上绕过CIO和CFO,这其中也包括基于云计算的举措。” 换句话说,这位CEO会给企业带来一系列影子系统或应用,而基于云端的影子应用,已经成为企业IT安全的重要隐患。

站在CEO的角度来看,他们会觉得应该让企业IT集中在公司最赚钱的领域,比如核心的财务系统或库存管理系统。至于其他部门,可以独立采用其他应用程序。在这样的情况下,员工就可能会使用自己的影子应用程序,因为他们知道他们更可能会从供应商而不是IT部门获取所需要的软件支持。 当员工们需要帮助时,他们基于云的影子应用带来的风险很多,包括数据安全,交易安全、业务联系性和监管合规等问题。往往会与这些产品供应商寻求帮助,而企业的IT部门则爱莫能助。

但普华永道的一份报告警告说:基于云的影子应用带来的风险很多,包括数据安全,交易安全、业务联系性和监管合规等问题。

该报告也指出,企业业务部门之所以越来越多的使用基于云的影子应用,部分原因时IT消费化的大势所趋,很多企业员工热衷与采用一些消费级的产品服务,并将其带入到工作场合。另一方面,大量基于云的服务价格便宜,对很多业务来说,采购这些服务并不是一笔很大的开销,而且,这些产品或服务可以轻松获取,使用过程中也能得到较好的更新,因此,业务部门热衷于采用基于云的应用服务来代替已有的IT服务。

上述情况使得企业完全陷入SaaS泛滥成灾的境地,没有人知道谁拥有什么软件或者云服务部署,也不知道是否遵守企业IT要求。French Caldwell提议企业的IT部门要加强与采购部门和财务部门的合作。首先,利用采购部门的追踪工具去检查所有部门采购的云服务产品,这需要结合自动和手动的方法,以定位云服务所处的部门以及该产品中数据的存放形式、位置和管理权限。

很多公司的CIO并具备采购权限,这需要CIO紧密和CFO以及CPO(首席采购官)协作,建立一套自上而下的检查体系。比如清查所有采购的云服务产品,培训相关部门的员工风险意识。

接着,在发现所有影子云服务后,企业可以创建一个云服务产品清单,列出应该禁止使用或限制的服务、受批准的服务,以及需要集中管理的服务,从而最大限度地降低风险。但IT部门同样也要提供有建设性的替代方案,比如IT部门禁止员工使用百度云这样的云存储产品分享工作文件,就要提供相应的替代产品,并且还要保证易用性和安全性。只有这样才能让员工们“心甘情愿”的使用IT部门的产品。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑