Sai quella vecchia battuta che, se tu e un halfling sei inseguito da un drago arrabbiato, non devi correre più veloce del drago, devi solo essere più veloce del halfling? Supponendo che gli utenti non malintenzionati * non debbano limitare il loro accesso al cloud pubblico, è sufficiente ridurre l'usabilità del cloud pubblico rispetto all'usabilità di qualsiasi soluzione aziendale disponibile per l'accesso ai dati non-desk . Se implementato correttamente, ciò ridurrà drasticamente il rischio di perdite non dannose ed è fattibile con una frazione del costo.
Nella maggior parte dei casi, una semplice lista nera dovrebbe essere sufficiente. Metti Google drive, Dropbox e il cloud Apple su di esso. Blocca anche il traffico verso Amazon AWS: la maggior parte di queste hot startup che creano ancora un altro servizio cloud non crea il proprio data center. Hai appena ridotto il numero di dipendenti che sanno come entrare nel cloud pubblico dal 90% al 15% (numeri molto approssimativi, varieranno a seconda del settore). Usa un messaggio di errore adatto per spiegare perché i cloud pubblici sono vietati, il che ridurrà la loro impressione di censura sfrenata (purtroppo, ci saranno sempre utenti che non sono disposti a capire).
Il restante 15% può ancora raggiungere fornitori non inclusi nella lista nera, ma probabilmente non si preoccuperanno di farlo. Google Drive e altri sono soggetti a forti effetti di rete positivi (di tipo economico, non tecnico). Tutti usano gli stessi 2-3 servizi, quindi vengono integrati ovunque. Gli utenti creano flussi di lavoro convenienti e ottimizzati che includono questi servizi. Se il provider di cloud alternativo non può essere integrato in tale flusso di lavoro, gli utenti non hanno alcun incentivo a utilizzarlo. E spero che tu abbia una soluzione aziendale per l'utilizzo più basilare di un cloud come la memorizzazione di file in un luogo centrale, raggiungibile da una posizione fisica al di fuori del campus (con VPN se è necessaria la sicurezza).
Aggiungi a questa soluzione molte misurazioni e analisi. (Questo è sempre necessario per quanto riguarda gli utenti). Prelevare campioni di traffico, soprattutto se si presentano modelli sospetti (il traffico a monte di esplosioni abbastanza grande da essere caricato di documenti, diretto allo stesso dominio). Dai un'occhiata umana ai domini sospetti identificati e, se scopri che si tratta di un provider cloud, scopri perchégli utenti lo usano, parlano con il management per fornire un'alternativa con uguale usabilità, educare l'utente offensivo sull'alternativa. Sarebbe bello se la tua cultura aziendale ti consente di rieducare delicatamente gli utenti catturati senza implementare misure disciplinari le prime volte - quindi non cercheranno di nasconderti particolarmente duramente e sarai in grado di cogliere facilmente le deviazioni e affrontare la situazione in un modo che riduce il rischio per la sicurezza ma consente comunque all'utente di svolgere il proprio lavoro in modo efficiente.
Un manager ragionevole ** capirà che questa lista nera porterà a perdite di produttività. Gli utenti avevano un motivo per utilizzare il cloud pubblico: sono incentivati a essere produttivi e il comodo flusso di lavoro ha aumentato la loro produttività (inclusa la quantità di straordinari non retribuiti che sono disposti a fare). È compito del manager valutare il compromesso tra perdita di produttività e rischi per la sicurezza e dirti se sono disposti a lasciare la situazione così com'è, implementare la lista nera o optare per misure degne di servizio segreto (che sono gravemente scomodo e ancora non fornisce sicurezza al 100%).
[*] So che le persone il cui lavoro è la sicurezza pensano innanzitutto all'intenzione criminale. E infatti, un determinato criminale è molto più difficile da fermare e può infliggere danni molto peggiori di un utente non malintenzionato. Ma in realtà, ci sono poche organizzazioni che vengono infiltrate. La maggior parte dei problemi di sicurezza sono legati alla sciocchezza degli utenti ben intenzionati che non si rendono conto delle conseguenze delle loro azioni. E poiché ce ne sono così tanti, la minaccia che rappresentano dovrebbe essere presa sul serio quanto la spia più pericolosa, ma molto più rara.
[**] Sono consapevole che, se i tuoi capi hanno già fatto questa richiesta, è probabile che non siano del tipo ragionevole. Se sono ragionevoli ma sbagliati, va benissimo. Se sono irragionevoli e testardi, questo è un peccato, ma devi trovare un modo per negoziare con loro. Offrire una soluzione così parziale, anche se non riesci a convincerli ad accettarlo, può essere una buona mossa strategica - presentata correttamente, mostra loro che sei "dalla loro parte", prendi sul serio le loro preoccupazioni e sei pronto a cercare per alternative a requisiti tecnicamente non fattibili.