Anda tahu lelucon lama itu, jika Anda dan setengahnya dikejar-kejar oleh naga yang marah, Anda tidak harus berlari lebih cepat dari naga itu, Anda hanya harus lebih cepat daripada setengahnya? Dengan asumsi pengguna yang tidak berbahaya *, Anda tidak harus membatasi akses mereka ke cloud publik, itu sudah cukup untuk membuat kegunaan cloud publik lebih rendah daripada kegunaan solusi enterprise apa pun yang Anda miliki untuk akses data non-desk-bound . Diimplementasikan dengan benar, ini akan mengurangi risiko kebocoran tidak berbahaya secara tajam, dan dapat dilakukan dengan sebagian kecil dari biaya.
Dalam kebanyakan kasus, daftar hitam sederhana sudah cukup. Letakkan Google drive, Dropbox dan Apple cloud di atasnya. Juga memblokir lalu lintas ke Amazon AWS - sebagian besar startup baru yang membangun layanan cloud lain tidak membangun pusat data mereka sendiri. Anda baru saja mengurangi jumlah karyawan yang tahu cara masuk ke cloud publik dari 90% menjadi 15% (angka yang sangat kasar, akan berbeda di setiap industri). Gunakan pesan kesalahan yang sesuai untuk menjelaskan mengapa cloud publik dilarang, yang akan mengurangi kesan mereka terhadap sensor sewenang-wenang (sayangnya, selalu ada pengguna yang tidak mau mengerti).
15% sisanya masih dapat menjangkau penyedia yang tidak ada dalam daftar hitam, tetapi mereka mungkin tidak akan repot melakukannya. Google drive and co tunduk pada efek jaringan positif yang kuat (jenis ekonomi, bukan jenis teknis). Semua orang menggunakan layanan 2-3 yang sama, sehingga mereka dibangun di mana-mana. Pengguna membangun alur kerja yang nyaman dan efisien yang mencakup layanan ini. Jika penyedia cloud alternatif tidak dapat diintegrasikan ke dalam alur kerja seperti itu, pengguna tidak memiliki insentif untuk menggunakannya. Dan saya harap Anda memiliki solusi korporat untuk penggunaan cloud yang paling mendasar seperti menyimpan file di tempat sentral, dapat dijangkau dari lokasi fisik di luar kampus (dengan VPN jika keamanan diperlukan).
Tambahkan ke solusi ini banyak pengukuran dan analitik. (Ini selalu diperlukan jika pengguna khawatir). Ambil sampel lalu lintas, terutama jika memperlihatkan pola yang mencurigakan (lalu lintas upstream dalam semburan yang cukup besar untuk diunggah dokumen, diarahkan pada domain yang sama). Coba lihat manusia di domain mencurigakan yang diidentifikasi, dan jika Anda menemukan bahwa itu adalah penyedia cloud, cari tahu sebabnyapengguna menggunakannya, berbicara dengan manajemen tentang memberikan alternatif dengan kegunaan yang sama, mendidik pengguna yang menyinggung tentang alternatif. Akan lebih bagus jika budaya perusahaan Anda memungkinkan Anda untuk dengan lembut mendidik kembali pengguna yang tertangkap tanpa menerapkan langkah-langkah disipliner pertama kali - maka mereka tidak akan berusaha untuk bersembunyi dari Anda terutama keras, dan Anda akan dapat dengan mudah menangkap penyimpangan dan menangani situasi. dengan cara yang mengurangi risiko keamanan tetapi masih memungkinkan pengguna untuk melakukan pekerjaannya secara efisien.
Manajer yang masuk akal ** akan memahami bahwa daftar hitam ini akan menyebabkan kerugian produktivitas. Para pengguna memiliki alasan untuk menggunakan cloud publik - mereka diberi insentif untuk menjadi produktif, dan alur kerja yang nyaman meningkatkan produktivitas mereka (termasuk jumlah lembur yang tidak dibayar yang bersedia mereka lakukan). Adalah tugas seorang manajer untuk mengevaluasi pertukaran antara hilangnya produktivitas dan risiko keamanan dan memberi tahu Anda apakah mereka bersedia membiarkan situasi apa adanya, untuk mengimplementasikan daftar hitam, atau untuk mengambil langkah-langkah yang layak untuk dinas rahasia-layanan (yang merupakan sangat tidak nyaman dan masih tidak memberikan keamanan 100%).
[*] Saya tahu bahwa orang-orang yang pekerjaannya adalah keamanan memikirkan niat kriminal terlebih dahulu. Dan memang, penjahat yang gigih jauh lebih sulit untuk dihentikan dan dapat menimbulkan kerusakan yang jauh lebih buruk daripada pengguna yang tidak jahat. Namun dalam kenyataannya, ada beberapa organisasi yang disusupi. Sebagian besar masalah keamanan terkait dengan kecerobohan pengguna yang bermaksud baik yang tidak menyadari konsekuensi dari tindakan mereka. Dan karena ada begitu banyak dari mereka, ancaman yang mereka ajukan harus ditanggapi seserius mata-mata yang lebih berbahaya, tetapi jauh lebih jarang.
[**] Saya sadar bahwa, jika bos Anda sudah mengajukan permintaan itu, kemungkinan mereka bukan tipe yang masuk akal. Jika mereka masuk akal tetapi hanya sesat, itu bagus. Jika mereka tidak masuk akal dan keras kepala, ini sangat disayangkan, tetapi Anda harus menemukan cara untuk bernegosiasi dengan mereka. Menawarkan solusi parsial seperti itu, bahkan jika Anda tidak dapat membuat mereka menerimanya, bisa menjadi langkah strategis yang baik - disajikan dengan benar, itu menunjukkan kepada mereka bahwa Anda "di pihak mereka", menanggapi masalah mereka dengan serius, dan siap untuk mencari untuk alternatif untuk persyaratan yang secara teknis tidak layak.