Bạn có biết rằng một trò đùa cũ rằng, nếu bạn và một nửa con rồng bị một con rồng giận dữ đuổi theo, bạn không cần phải chạy nhanh hơn con rồng, bạn chỉ cần phải nhanh hơn một nửa? Giả sử người dùng không độc hại *, bạn không phải hạn chế quyền truy cập của họ vào đám mây công cộng, điều đó đủ để làm cho khả năng sử dụng của đám mây công cộng thấp hơn khả năng sử dụng của bất kỳ giải pháp enterprisey nào bạn có để truy cập dữ liệu không bị ràng buộc . Thực hiện đúng, điều này sẽ làm giảm nguy cơ rò rỉ không độc hại mạnh mẽ, và có thể thực hiện được với một phần chi phí.
Trong hầu hết các trường hợp, một danh sách đen đơn giản nên đủ. Đặt Google drive, Dropbox và đám mây Apple trên đó. Đồng thời chặn lưu lượng truy cập vào Amazon AWS - hầu hết các công ty khởi nghiệp nóng này, những người xây dựng một dịch vụ đám mây khác không xây dựng trung tâm dữ liệu của riêng họ. Bạn chỉ cần giảm số lượng nhân viên biết cách vào đám mây công cộng từ 90% xuống 15% (số lượng rất thô, sẽ khác nhau theo ngành). Sử dụng một thông báo lỗi phù hợp để giải thích tại sao các đám mây công cộng bị cấm, điều này sẽ làm giảm ấn tượng của họ về kiểm duyệt bừa bãi (đáng buồn thay, sẽ luôn có người dùng không sẵn lòng hiểu).
15% còn lại vẫn có thể tiếp cận các nhà cung cấp không nằm trong danh sách đen, nhưng có lẽ họ sẽ không bận tâm để làm điều đó. Google drive và co phải chịu các hiệu ứng mạng tích cực mạnh mẽ (loại kinh tế, không phải loại kỹ thuật). Mọi người đều sử dụng 2-3 dịch vụ giống nhau, vì vậy chúng được xây dựng ở mọi nơi. Người dùng xây dựng các quy trình công việc thuận tiện, hợp lý bao gồm các dịch vụ này. Nếu nhà cung cấp đám mây thay thế không thể được tích hợp vào quy trình làm việc như vậy, người dùng không có động lực để sử dụng nó. Và tôi hy vọng rằng bạn có một giải pháp công ty cho việc sử dụng đám mây cơ bản nhất như lưu trữ tệp ở vị trí trung tâm, có thể truy cập từ một vị trí thực tế bên ngoài khuôn viên (với VPN nếu cần bảo mật).
Thêm vào giải pháp này một lượng lớn các phép đo và phân tích. (Điều này luôn cần thiết khi người dùng quan tâm). Lấy các mẫu lưu lượng truy cập, đặc biệt nếu hiển thị các mẫu đáng ngờ (lưu lượng truy cập ngược dòng trong các cụm đủ lớn để tải lên các tài liệu, được hướng vào cùng một tên miền). Có một cái nhìn của con người về các miền đáng ngờ đã được xác định và nếu bạn thấy rằng đó là một nhà cung cấp đám mây, hãy tìm hiểu tại saoNgười dùng đang sử dụng nó, nói chuyện với ban quản lý về việc cung cấp một giải pháp thay thế có khả năng sử dụng như nhau, giáo dục người dùng vi phạm về phương án đó. Sẽ thật tuyệt nếu văn hóa doanh nghiệp của bạn cho phép bạn nhẹ nhàng kiểm tra lại những người dùng bị bắt mà không thực hiện các biện pháp kỷ luật lần đầu tiên - sau đó họ sẽ không cố gắng che giấu bạn một cách đặc biệt, và bạn sẽ có thể dễ dàng bắt gặp những sai lệch và xử lý tình huống theo cách làm giảm rủi ro bảo mật nhưng vẫn cho phép người dùng thực hiện công việc của mình một cách hiệu quả.
Một người quản lý hợp lý ** sẽ hiểu rằng danh sách đen này sẽ dẫn đến mất năng suất. Người dùng có lý do để sử dụng đám mây công cộng - họ được khuyến khích làm việc hiệu quả và quy trình làm việc thuận tiện đã tăng năng suất của họ (bao gồm cả số giờ làm thêm không được trả mà họ sẵn sàng làm). Công việc của người quản lý là đánh giá sự đánh đổi giữa mất năng suất và rủi ro bảo mật và cho bạn biết nếu họ sẵn sàng để tình huống như hiện tại, thực hiện danh sách đen hoặc thực hiện các biện pháp xứng đáng với dịch vụ bí mật (đó là bất tiện nghiêm trọng và vẫn không cung cấp bảo mật 100%).
[*] Tôi biết rằng những người có công việc bảo mật nghĩ đến mục đích phạm tội trước tiên. Và thực sự, một tên tội phạm kiên quyết khó ngăn chặn hơn nhiều và có thể gây ra thiệt hại tồi tệ hơn nhiều so với người dùng không độc hại. Nhưng trong thực tế, có rất ít tổ chức bị xâm nhập. Hầu hết các vấn đề bảo mật có liên quan đến sự ngu ngốc của những người dùng có ý nghĩa tốt, những người không nhận ra hậu quả của hành động của họ. Và bởi vì có rất nhiều người trong số họ, mối đe dọa mà họ gây ra nên được xem xét nghiêm trọng như là gián điệp nguy hiểm hơn, nhưng hiếm hơn nhiều.
[**] Tôi biết rằng, nếu các sếp của bạn đã đưa ra yêu cầu đó, rất có thể họ không phải là loại hợp lý. Nếu chúng hợp lý nhưng chỉ sai lầm, điều đó thật tuyệt. Nếu họ không hợp lý và bướng bỉnh, điều này thật đáng tiếc, nhưng bạn phải tìm cách thương lượng với họ. Đưa ra một giải pháp một phần như vậy, ngay cả khi bạn không thể khiến họ chấp nhận nó, có thể là một bước đi chiến lược tốt - được trình bày đúng, nó cho họ thấy rằng bạn "đứng về phía họ", nghiêm túc quan tâm đến họ và sẵn sàng tìm kiếm cho các lựa chọn thay thế cho các yêu cầu kỹ thuật không khả thi.