在 COVID-19 期间降低影子 IT 带来的在家办公风险

终端用户计算（EUC）政策非常复杂，依靠时间紧迫的个人来执行这些准则不仅要求很高，而且不切实际。 是什么加剧了这一挑战？ 是许多公司员工被重新安置到远程工作地点。

普华永道会计师事务所在一份新的网络安全研究报告中指出，这些 EUC（或称 "影子 IT "资产）是 COVID-19 期间一个明确的风险来源，并建议采取具体措施加以防范：

监控 "影子 IT"，将用户转移到已获批准的解决方案。

审查网络流量日志，监控影子 IT（如文件共享、视频会议和协作工具）的使用情况，并努力实施和推动用户使用业务认可的安全解决方案（如使用云访问安全代理和网络代理过滤）。

使用人工流程进行欧盟采购清单清查不切实际

公司要最大限度地降低风险，首先必须清点影子 IT 资产。 但是，风险管理者必须采取哪些措施来编制一份适当的EUC 清单呢？ 首先，必须明确定义每个 EUC - 它内置了什么软件程序？根据公司政策，它的关键性是什么？之后，还需要指定所有者、验证者、有关应用程序应登录到哪个关键业务 EUC 清单等。在任何组织中，EUC 的数量通常都会达到数百甚至数千个，因此，以任何准确的方式手动遵守每个应用程序的 EUC 政策都是一项艰巨的任务。

这种方法自然容易出现人为错误。通常，用户被要求填写表格，提供他们使用和拥有的电子数据中心的详细情况，但他们总是只能提供高层次的信息，甚至可能无法提供一套完整的答案。 此外，编制电子数据中心清单的文件通常是......另一份电子表格！

在 COVID-19 期间利用技术遵守 EUC 政策

在突然过渡到在家办公或远程办公的情况下，你可以很容易地想象到这对 EUC 的数量和分散的资产所造成的复杂性，以及随之而来的风险。

技术系统可根据组织的具体 EUC 政策创建定制框架，为整个企业遵守 EUC 政策提供最佳机会。即使是在这样一个员工分散的时期，这些措施也是切实可行的，而且比 "正常 "时期的需求更为迫切。

一个 技术供应商提供的 EUC 清单模板 空白传送给客户组织，客户组织可以 量身定做 根据他们自己的要求和 EUC 管理目标。因此，最初的问题可能包括EUC 的类型是什么（如 Excel、Access、Matlab 文件）？应用程序对组织的重大风险（如运营、监管、财务、声誉）是什么？ 以及其他特定组织的问题。

根据对各种问题的答复，可能需要进一步查询--例如，如果文件是高风险的，则必须输入适当的退役计划。技术可以确保通过强制字段获取这些附加信息，以支持 EUC 政策的合规性。

在回答问题时，还可使用 Active Directory 获取部门和所有权信息。这样，企业就可以创建一个一致、全面的 EUC 全局图，清楚地了解整个企业中存在的关键文件。例如，如果注册了一千个文件，那么就有足够的粒度来了解远程设备上有一百个文件，其中十个是关键文件，两个是定价模型。

以技术为基础的欧盟采购方法的灵活性和优势

当然，EUC 政策控制不能基于对 EUC 环境的 "时间点 "可见性。最重要的是，技术有助于支持始终保持最新的 "活 "清单，而不是仅在年度评估时才是最新的清单。年初可能属于中等风险的 EUC 应用程序有可能变成高风险，因为它现在是在不同的安全环境下远程操作的。通过技术系统提供的自动化功能，这种变化会被自动记录，并执行所需的政策控制。

如果员工的状态发生变化--无论是转为远程办公，还是转回办公室办公--任何政策变化都可以在调查问卷中进行调整，然后自动推送给员工。 同样，如果特定的 EUC 所有者离开组织，需要 "重新归属 "的文件也可以很容易地标记出来。不断变化的监管压力意味着可能需要对政策进行修改，因此必须在清单问卷中添加新的问题。有了正确的技术，这些问题也可以自动推送给用户，并要求他们提供更多信息。

然后，所有注册的 EUC 文件都可以根据组织的 EUC 政策自动接受变更管理和控制标准，包括版本管理、访问监督和保护监控，以及合规性和风险管理的审计跟踪。该系统还可根据组织的政策，帮助修复或停用 EUC。

它可以提供员工合规流程的完整可见性，并详细了解个人在日常运营中依赖的非结构化文档、系统和应用程序。它可以安全地促进证明和审查、定期报告和全面审计，并通过模型管理来降低风险。

采用技术是管理组织内整个 EUC 环境的最可靠、最值得信赖、最省时和最具成本效益的方法，包括从创建 EUC 政策和遵守规则，到合规性风险管理模型。如今，随着员工被迫远程工作，这一点比以往任何时候都更加重要和必要。