首席信息官发现'Terrifying'疯狂运行的云应用程序的现实

首席信息官迈克尔·基思利(Michael Keithley)在好莱坞人才公司创意艺术家机构(Creative Artists Agency)担任最高技术职位已有近25年的时间,因此,您可能会认为他知道该公司在技术上所做的一切。他也这么认为。

吉时利(Keithley)认为,在Creative Artists Agency的全球企业网络上运行着约50种云服务,但他决定确定这一点。

他运行了Skyhigh的云安全软件,该软件对影子IT有所帮助,该报告吐出了惊人的数字:正在运行的1600多个云服务。一些最讨厌的站点来自东部集团,显然正在试图欺骗人们放弃敏感数据。

“ 首席信息官可以告诉业务经理,如果您选择冒险……而且数据遭到泄露,那么您和我将在董事会面前,而不仅仅是我一个人。” -拉各夫·古普塔(Sky Raj)

吉时利说:“一旦克服了差距的冲击,您就会看到这些服务的风险状况,这简直令人恐惧。”

首席信息官成为云推动者

流氓云服务消除了公司安全结构中的空白漏洞,使公司面临巨大风险,而首席信息官则处于困境。但是,流氓云服务还显示出迫切需要精通技术的顾问(或云服务经纪人)修补漏洞,维护合规性,协商云合同并执行服务水平协议,因为许多云服务提供商提供的服务都是伪劣的。行动研究。

面对大量流氓云服务,吉时利的第一个本能是阻止它们-但这无济于事。毕竟,IT阻止不熟悉的技术的历史很可能首先产生了这些流氓云服务。相反,吉时利需要将其IT部门的声誉从阻止者转变为推动者。

[有关: 首席信息官为什么不应该阻止流氓云应用程序 ]

首先,吉时利(Keithley)聘请首席顾问对员工进行教育,以了解为什么需要关闭最高风险的云服务。让律师成为坏人,而不是首席信息官。

吉时利(Keithley)的团队针对中低风险站点,创建了更具吸引力的替代方案。大约有60种流氓云服务具有文件,同步和共享的功能,这意味着它们可以交易潜在敏感的公司数据。

吉时利发出了RFP,与Box达成和解,并废除了一项企业许可协议。然后,他将Box与单点登录集成在一起,并向人力资源系统添加了配置和连接性,因此新员工将自动获得Box帐户。

获得业务支持

吉时利将Box软件包推销给业务线经理和其他主要影响者,要求他们使用此软件包代替其流氓云服务。经理们买了,这就是吉时利成为云支持者的方式。他说,CIO必须承认自己的角色正在变化,因此,他们必须在报废堆上发展或提升,这就是另一种CIO,即“职业生涯结束了”。

当然,说起来容易做起来难。更糟糕的是,CIO的业务头脑似乎存在差异,这绝对要求成为一名云顾问。

红帽最近的一项调查显示,有78%的技术主管将他们对业务的知识评价为“优秀”或“良好”,另有66%的技术主管说他们对来自业务部门的新想法的接受程度为“优秀”或“良好”。然而,流氓云服务的爆炸式增长突显了许多业务线经理对CIO的看法:业务流程的不受信任的阻止者必须将他们拒之门外。

这个繁忙的交叉路口的中心在于数据丢失的风险和合规性下降的可能性,而合规性则随着云服务的发展而飙升。情况有多危险?只要遵循逻辑。

[有关: 云应用飙升,CIO担当新角色 ]

根据基于830万用户的Skyhigh数据,组织平均使用759个云服务,高于上一季度的626个。总体而言,在Skyhigh数据库中找到的3,571个云服务中,只有7%被认为可用于企业。更糟糕的是,有5%的人被认为具有很高的风险。综上所述,三分之二的云服务易受Heartbleed攻击

它会变得更糟

野蛮人也在门口。恶意软件编写者将业务服务关键数据的云服务锁定为死路:16%的公司对存储信用卡号,健康记录和社会保险号等数据的服务具有异常的云访问权限,这意味着恶意软件被用来秘密访问业务服务根据Skyhigh的说法,例如Salesforce或Workday。

在大多数情况下,CIO对此无能为力。与Creative Artists Agency的情况一样,绝大多数云服务都在CIO的监视下飞行。平均而言,IT部门仅了解公司使用的云服务的5%至8%。

Skyhigh首席执行官拉吉夫·古普塔(Rajiv Gupta)说:“这不是猜测,不是夸张,不是我变得多愁善感-这是基于事实的数据。” “这就是您现在要承担的风险。”

即使CIO知道的云服务也不一定是避风港。 WinMagic的安全性调查发现,35%的IT决策者允许员工在工作场所使用个人云存储。十分之六的人表示,他们的公司已对平板电脑和手机实施了加密功能。

在这条路的尽头,巨额资金悬而未决。根据Ponemon Institute的数据,美国一家公司发生数据泄露的平均成本从去年的540万美元跃升至今年的590万美元。

也许不公平的是,CIO忙于确保从泄漏的云服务以及他们甚至不知道的流氓云服务中维护安全性和合规性。 首席信息官无法控制(例如阻止)许多流氓云服务;他们只能向业务部门经理提供有关风险的建议。

听起来像是双赢局面,对吧?

挂在一起或分开挂

Creative Artists Agency的Keithley说,重要的是要提醒业务部门经理他们共同承担责任。他通过指出最近涉及零售业巨头Target的案例来做到这一点。去年12月,标题为彻底的数据泄露导致 首席信息官贝丝·雅各布掉下剑 三个月后。

尽管在一次广为人知的违规事件发生后,技术负责人通常被解雇,但雅各布并不孤单。 Target总裁兼首席执行官Gregg Steinhafel辞职,此事终于在本月达到最高职位。

吉时利告诉业务线经理,每个人都将为数据泄露付出代价。对于云服务,尤其是未经IT部门审查的流氓云服务,风险更高。

然后是直接方法。

Gupta说:“ 首席信息官可以告诉业务经理,如果您选择冒险,那就继续吧。” “但是明天如果发生违规行为且数据遭到泄露,如果不遵守合规性规定,那么您和我将在董事会面前,而不仅仅是我一个人。”

汤姆·金重 涵盖Apple,BYOD和CIO.com的IT消费化。在推特上关注汤姆 @kaneshige。在Twitter上关注CIO.com的所有内容 @CIOonline, 脸书, Google +领英。电邮汤姆(Tom) [email protected]

进一步了解社会角色 在CIO的CIO角色深入分析中。

这个故事“ 首席信息官发现疯狂运行的Cloud Apps的“可怕”现实”最初是由 首席信息官.

版权© 2014 IDG通讯,Inc.

  
在亚马逊上购买技术产品