在COVID-19期间减少来自影子IT的在家工作的风险

终端用户计算（EUC）政策很复杂，依靠时间紧迫的个人来执行这些准则不仅是一个很大的要求，而且不切实际。 是什么加剧了这一挑战？ 许多企业员工被重新安置到远程工作。

正如普华永道会计师事务所在一份报告中指出的那样 新的网络安全研究在COVID-19期间，这些EUC或 "影子IT "资产是一个明确的风险来源，他们建议采取具体措施来应对：

监测影子信息技术，并将用户转移到批准的解决方案。

审查网络流量日志，以监测影子信息技术的使用情况（如文件共享、视频会议和协作工具），并努力实施，使用户转向企业认可的安全解决方案（如使用云访问安全经纪公司和网络代理过滤）。

进行EUC清查是不切实际的手工过程

一家公司在将其风险降到最低时必须采取的第一步是清点其影子IT资产。 但是，风险管理人必须采取什么措施来汇集 a 适当的 欧盟委员会的库存？  首先，每一个EUC必须被清楚地定义--它是建立在什么软件程序中的？而根据公司政策，它的关键性是什么？此后，它需要指定的所有者、验证者，有关的应用程序应该在哪个关键业务的EUC目录下登录，等等。鉴于在任何组织中，EUC的数量通常可以达到数百甚至数千，以任何准确的方式为每一个应用程序手动遵守EUC政策是一项艰巨的任务。

这种方法自然容易出现人为错误。通常，用户被要求填写表格，提供他们使用和拥有的EUC的细节，但无一例外，他们只提供高层次的信息，甚至可能不提供一套完整的答案。 此外，编制EUC清单的文件通常...另一个电子表格!

在COVID-19期间，利用技术来遵守EUC政策

随着突然过渡到在家工作或远程工作，你可以很容易地想象，当涉及到EUC的数量和分散的资产时，这造成了复杂的情况 - 以及随之而来的风险。

技术系统提供了整个企业遵守EUC政策的最佳机会，通过创建一个基于组织的特定EUC政策的定制框架。即使在这样的时候，由于员工的分布，这些都是切实可行的，并且是 更为迫切的需求 比在 "正常 "时期更多。

一个 技术提供商提供的EUC清单模板 空白交付给客户组织，客户组织可以 量体裁衣 基于他们自己的要求和欧盟委员会的管理目标。因此，最初的问题可能包括：EUC的类型是什么（例如：Excel、Access、Matlab文件）？该应用对组织的重大风险（即运营、监管、财务、声誉）是什么？ 以及其他针对组织的问题。

基于对各种问题的回答，可能需要进一步的查询--例如，如果文件是高风险的，那么必须有一个合适的退役计划被输入。技术可以确保这种额外的信息通过强制性的字段被捕获，以支持EUC政策的遵守。

随着问题的回答，部门和所有权信息也被使用活动目录捕获。这使得一个组织能够创建一个 统一的、整体的欧盟委员会的情况 以提供对整个组织存在的关键文件的清晰视图。例如，如果有一千个注册的文件，就有足够的颗粒度知道一百个在远程设备上，其中十个是关键的，两个是定价模型。

基于技术的欧盟委员会方法的灵活性和好处

当然，欧盟委员会的政策控制不能建立在对欧盟委员会情况的 "时间点 "可视性上。最重要的是、 技术有助于支持一个永远是最新的 "活 "库存、 而不是在进行年度评估时才有的。一个在年初可能是中等风险的EUC应用有可能变成高风险，因为它现在是在一个不同的安全环境下被远程操作。通过技术系统提供的自动化，这种变化被自动记录下来，并执行所需的政策控制。

如果 劳动力状况的变化 - 不管是转到远程的基础上，还是过渡回 进入 在办公室--任何政策的变化都可以在调查表中得到满足，然后可以自动推送给员工。 同样，如果一个特定的EUC所有者离开组织，需要 "重新归宿 "的文件可以很容易地被标记出来。不断变化的监管压力意味着对政策的改变可能是 还有 需要，所以必须在清单调查表中增加新的问题。有了正确的技术，这也可以自动推送给用户，并要求提供额外的信息。

然后，所有注册的EUC文件可以根据组织的EUC政策自动接受变更管理和控制标准，包括版本管理、访问监督、保护监控以及审计跟踪，以实现合规和风险管理。该系统还有助于根据组织的政策对EUC进行补救或停用。

它可以为员工的合规流程提供完整的可视性，并详细了解个人在日常运营中所依赖的非结构化文件、系统和应用程序。它安全地促进了证明和审查，定期报告和全面审计，直至模型治理，以减少风险。

拥抱技术是管理企业整个EUC环境的最可靠、最值得信赖、最省时和最经济的方式--从EUC政策的建立和遵守，到监管合规的模型风险管理。今天，由于员工被迫远程工作，这就是 比以往任何时候都更有意义和必要。