罗默说,IT 部门可以通过向用户宣传风险并鼓励员工卸载此类应用程序来主动防范这些未使用或过时的应用程序。
“组织在云端面临的最大挑战是其他地方的授权用户访问云端并下载数据或对其进行更改,”莫纳汉说。 — 并非所有云提供商都向客户披露其日志记录功能。但即使他们确实披露了这些信息,如果有人拥有必要的权限,客户可能不会注意到他们的行为。”
奇科皮储蓄银行的技术高级副总裁达琳·利比舍夫斯基 (Darlene Libiszewski) 表示,多年来,该银行一直使用由供应商而非其数据中心托管的银行应用程序,但出于安全方面的考虑,该银行一般会避免使用云服务。
情况正在发生变化。 “当然,云应用程序和服务 比利时电报数据 在过去几年已经成熟,”Libiszewski 说。尽管存在失去控制和安全风险增加等潜在挑战,她仍在研究各种云模型,因为这些模型允许她外包团队成员所不具备的技能,并可能提供降低 IT 成本的机会。
“安全风险是显而易见的,但我认为令人信服的商业利益促使我定期评估云解决方案,并考虑将这些风险降至最低的方法,这对我、我们的董事和我们的客户来说都是极为担忧的,”Libiszewski 说。
由于云解决方案将数据保存在异地,“我们必须考虑外部威胁,并评估对提供商所在地静态和处理中的数据的控制有效性,以及在我们、我们的用户和提供商之间移动时的控制有效性,”Libiszewski 继续说道。
她说,向云服务提供商提出的一个关键安全问题是授权用户如何以可靠和安全的方式访问应用程序、服务和数据。
“如果有人使用不安全的端点或网络怎么办?我能否控制这一点以充分降低风险? — Libiszewski 问道。 “当我们在四面墙内进行访问时,我可以使用现有的、经过验证的、可管理的工具,更加可靠地进行控制。”
其他问题包括托管服务提供商如何防止未经授权的用户访问云端的银行数据、如何检测和预防网络入侵、以及服务提供商识别和修复系统漏洞的频率。
Chicopee 储蓄银行通过严格的提供商管理程序、使用安全虚拟专用网络、访问控制工具、加密、禁止个人端点、员工对多种安全威胁的意识、持续监控等政策和技术建立了内部安全。
“我们必须重新思考我们如何经营我们的业务,我们对未来经营业务的期望,以及我们现在和将来如何保护自己,”Libiszewski说。 — 这使人们对各种风险——旧的、新的和正在变化的风险——有了更深入的了解。改变的风险有时可能会被排除在我们的风险评估过程之外,因为它们并不是全新的,而只是稍作修改。”