基于云端的影子应用已成IT安全隐患

致力于研究公司IT治理、风险和合规的Gartner分析师 French Caldwell对上周会见的一个客户印象深刻：“这家公司的首席执行官具有很高的‘执行力’，当他想完成某事时，他会在各种举措上绕过CIO和CFO，这其中也包括基于云计算的举措。”

换句话说，这位CEO会给企业带来一系列影子系统或应用，而基于云端的影子应用，已经成为企业IT安全的重要隐患。 　　

站在CEO的角度来看，他们会觉得应该让企业IT集中在公司最赚钱的领域，比如核心的财务系统或库存管理系统。至于其他部门，可以独立采用其他应用程序。在这样的情况下，员工就可能会使用自己的影子应用程序，因为他们知道他们更可能会从供应商而不是IT部门获取所需要的软件支持。

当员工们需要帮助时，他们基于云的影子应用带来的风险很多，包括数据安全，交易安全、业务联系性和监管合规等问题。往往会与这些产品供应商寻求帮助，而企业的IT部门则爱莫能助。 　　

但普华永道的一份报告警告说：基于云的影子应用带来的风险很多，包括数据安全，交易安全、业务联系性和监管合规等问题。 　　

该报告也指出，企业业务部门之所以越来越多的使用基于云的影子应用，部分原因时IT消费化的大势所趋，很多企业员工热衷与采用一些消费级的产品服务，并将其带入到工作场合。另一方面，大量基于云的服务价格便宜，对很多业务来说，采购这些服务并不是一笔很大的开销，而且，这些产品或服务可以轻松获取，使用过程中也能得到较好的更新，因此，业务部门热衷于采用基于云的应用服务来代替已有的IT服务。

上述情况使得企业完全陷入SaaS泛滥成灾的境地，没有人知道谁拥有什么软件或者云服务部署，也不知道是否遵守企业IT要求。French Caldwell提议企业的IT部门要加强与采购部门和财务部门的合作。首先，利用采购部门的追踪工具去检查所有部门采购的云服务产品，这需要结合自动和手动的方法，以定位云服务所处的部门以及该产品中数据的存放形式、位置和管理权限。 　　

很多公司的CIO并具备采购权限，这需要CIO紧密和CFO以及CPO(首席采购官)协作，建立一套自上而下的检查体系。比如清查所有采购的云服务产品，培训相关部门的员工风险意识。 　　

接着，在发现所有影子云服务后，企业可以创建一个云服务产品清单，列出应该禁止使用或限制的服务、受批准的服务，以及需要集中管理的服务，从而最大限度地降低风险。但IT部门同样也要提供有建设性的替代方案，比如IT部门禁止员工使用百度云这样的云存储产品分享工作文件，就要提供相应的替代产品，并且还要保证易用性和安全性。只有这样才能让员工们“心甘情愿”的使用IT部门的产品。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友