影子IT评估

企业和用户每天都可以免费使用新的云服务，如软件即服务（SaaS）。商业环境中也会使用的知名 SaaS 应用程序包括Microsoft 365、Teams、Google Drive、Salesforce、ServiceNow 和Zoom。云服务的优点是显而易见的：它们可以在任何时间、任何地点和几乎任何设备上使用，从而提供了一种非常灵活的工作方式。

这些吸引人的云服务有很多通常不是由企业 IT 提供的，因此存在于“阴影中”。由于它们未被集成到安全架构中，因此企业通常的安全机制不会生效——影子 IT是一种巨大且经常被低估的风险。随着云的兴起，员工访问云服务的终端设备数量也在增加。这也会造成安全漏洞。

我们的影子 IT 评估将提供企业使用的云服务的透明度。根据评估，我们将向企业展示提高 IT 安全的解决方案。我们的主张是：随时随地，任何连接——始终安全！

实现云安全的一个重要步骤是降低与影子IT相关的风险。第一步，德国莱茵TÜV 影子IT 评估将提供可见性和透明度。因为只有了解所使用的应用程序，才能有效地保护它们。影子IT评估是一种基于云的半自动化方法，可识别您公司未授权的云服务。它揭示了这些应用程序并突出其风险。

影子IT评估的内容如下：

• 它提供所有被使用的 SaaS 服务的透明度。
• 它限定并量化了您公司在使用这些服务时可能面临的风险。
• 它提供每项云服务的详细信息（谁、何时、多久、多少数据量）。
• 它审核云和网络的使用情况，同时考虑合规性要求。

我们的IT专家将与您一起进行评估。我们会考虑您的具体情况，并根据您公司的需求量身定制评估。

第1步：资讯会议

在资讯会议上，我们将跟您明确框架条件。譬如：

• IT 批准的云服务（如Salesforce、Office 365等）或云存储解决方案是什么？
• 您公司的哪些数据需要特殊保护？
• 评估期间哪些保密政策（匿名化）是强制性的？应该如何实施？
• 哪些数据治理或安全策略需要特殊分析？

第2步：访问您的系统

在评估过程中，我们会查看访问系统（如 NG Firewall 或 Web Proxy）的日志信息，并需要互联网中断（NG Firewall、WebGateway、Proxy）的日志数据。我们可以通过通用防火墙和代理供应商处理所有日志格式。

第3步：分析和结果报告

为了进行分析，我们的专家将使用安全的基于云的系统评估日志数据，该系统会自动处理匿名数据。分析需要两到四周时间，并提供所用云服务的完整概况。

结果报告将提供以下信息的透明度：

所使用服务的数量和重要性

• 从企业的角度对所使用的云服务进行风险评估
• 上传和下载之间的比率
• 哪些用户（必要时匿名）的上传或下载量最大？
• 在上传和下载方面排名前10 的关键云服务
• 按用户数量计算的排名前10的关键云服务
• 用户定义的评估（如需要）

第4步：结果咨询

我们将向您展示结果，并在后续步骤中为您提供建议和帮助，以有效遏制影子IT并最大限度地提高云安全。

影子IT评估是嵌入云安全周期的首批措施之一。它可以是一次性评估，也可以作为一个周期定期重复。无论哪种，这一评估都是通往云安全之路的重要里程碑。这是因为通过评估获得的透明度是后续所有步骤——控制和规范云使用、遵守数据保护和合规性要求、执行安全准则并确保企业数据的安全——的必要前提。这些是通过云安全周期中的另一个重要步骤——云访问安全代理（CASB）——实现的。CASB是一项复杂的软件解决方案，也是您通往云安全的门户。

通过安全地使用云应用程序，您可以充分受益于云服务的优势：降低成本、获得灵活性并提高生产力。在德国莱茵TÜV，作为具备公认专业知识的合作伙伴和独立顾问，我们积极向您提供支持。随时随地，任何连接——始终安全！