日前，在今年第四個也是***一個美國國家網(wǎng)絡安全宣傳月( NCSAM)期間，安全風險信息解決方案提供商Rapid7討論了云,以及如何避免云風險等問題。

此前，Rapid7的話題涵蓋釣魚、BYOD和密碼保護。

本周Rapid7的主題是云,旨在幫助員工使用云服務時避免一些安全風險。

“一些機構會為其員工選擇制定完整的沒有云服務的政策并有足夠的資源去執(zhí)行,但對于絕大多數(shù)的安全團隊而言,防止數(shù)據(jù)泄漏到云的唯一途徑是正確教育員工認識固有風險,”Matt Hathaway公司高級產(chǎn)品經(jīng)理表示。

沒有人期望你是一個安全專家，但希望你能保持警惕，熟悉公司的政策,如果有疑問一定要聯(lián)系安全團隊。切記,盡管云應用看起來非常***和專業(yè),但你根本無從知曉此時公司已經(jīng)暴露了什么級別的風險。在此有一些基本的技巧來減少這種風險:

Ø 與IT/安全團隊合作：當你開始考慮使用一個新的云應用程序時，務必考慮與IT和安全團隊協(xié)作。他們會基于你的預算和需求篩選出潛在選項，然后為你審查程序。IT和安全人員清楚地了解你想要達到的目的，能***程度地確保你得到全部利益且規(guī)避許多額外的風險。

Ø 不要未經(jīng)許可在線儲存信息：當你使用一個云解決方案時會發(fā)現(xiàn),你認為將數(shù)據(jù)存儲到公有云是理所當然的。但是可曾考慮過存儲什么樣的數(shù)據(jù)?或者供應商是如何存儲和保護這些數(shù)據(jù)的?我們有責任保護數(shù)據(jù)安全,但第三方供應商或許不會認為他們也應分擔這份責任。向IT人員征求意見會知道在線存儲數(shù)據(jù)是否安全。

Ø 不要用私有云儲存工作文件：能夠在家使用在線服務存儲多媒體文件確實非常誘人。擁有一個訪問公司信息的帳戶,這樣無論身處何處都可以工作。使用你的個人帳戶似乎是一個最簡捷的辦公途徑，但事實并非如此。向IT求助,我們會被告知一些能夠得到企業(yè)認可的方法，之后可啟動并運行。

Ø 不要共享公司文件的權限：在公司里嚴格限定訪問特定類型信息的員工身份是一個標準的做法，這有助于保護信息安全。同樣，共享訪問存儲在云的文件時，應與公司經(jīng)理或IT人員事先商議。

Ø 不要共享密碼和其他訪問憑證: 共享云服務的訪問憑證在企業(yè)團隊中是非常常見的。這本質(zhì)上是一種不安全的行為,同樣不安全的行為還包括電子郵件認證，隨手寫下密碼，或者使用非常弱且容易被猜到的密碼。這些行為增加了使用云服務的風險，應該堅決予以避免。