Obsah:
Video: We Made Smoke Arrows and They Worked (Listopad 2024)
Z pohledu IT profesionála jsou cloudové služby meč s dvěma okraji. Na jedné straně mohou cloudové služby drasticky snížit náklady a dobu implementace i pokročilých softwarových služeb, protože tyto nyní nevyžadují zdlouhavé nastavení, konfiguraci a dobu testování ani spoustu drahého serverového hardwaru. Stačí se zaregistrovat a jít. Na druhé straně je tato snadná implementace něco, co se uživatelé naučili, a mnozí z nich si zřizují vlastní servisní účty, buď jako jednotlivci, nebo jako týmy - a používají je k ukládání a manipulaci se všemi druhy korporací data bez správy IT, dokud se něco pokazí.
Stínové IT nebo systémy informačních technologií (IT) vyvinuté v rámci společnosti jinými osobami než oficiálními zaměstnanci IT, mohou představovat vážný problém v oblasti bezpečnosti a ochrany dat. Tyto systémy přinejmenším obsahují služby, které nejsou chráněny zbytkem bezpečnostních opatření, která IT používá. A v nejhorším případě poskytují další a do značné míry nechráněný povrch útoku, který se často vrátí přímo do vaší firemní sítě. Vaše první odpověď pravděpodobně tyto zaměstnance vykoření, potrestá a zničí jejich stínové IT.
Možná si myslíte, že nepoctivé cloudové služby nejsou tak závažným problémem jako příklady hardwaru, které jsem právě zmínil, ale problémy jsou ve skutečnosti velmi podobné. Zaměstnanec, řekněme, že je vývojář, se rozhodne rychle zakoupit instanci virtualizovaného cloudového serveru na Amazon Web Services (AWS) nebo Google Cloud Platform, aby mohla rychle otestovat nějaký nový kód, na kterém zaostává, aniž by musela čekat na žádost. prostřednictvím IT. Za pár minut provozuje vlastní pracovní vytížení. Platí za službu kreditní kartou a zjistila, že jakmile je kód schválen, může jej jednoduše zaplatit.
Možná nebudete lovit takového uživatele tak pilně, jako by někdo nasazoval nepoctivého routeru, protože existují dva klíčové rozdíly mezi AWS a osobním routerem: Za prvé, jednoduše najít nečestný server našeho vývojáře není snadné. Jak uvádí společnost Statista pro výzkum trhu (níže), správa a správa v cloudu jsou dvě z největších výzev, kterým čelí IT profesionálové v době cloud computingu. Jak bez předchozího vědomí tohoto neoficiálního účtu tohoto uživatele rychle zjistíte, aniž byste zároveň porušili vaše vlastní bezpečnostní zásady týkající se ochrany soukromí a údajů? Zadruhé, Amazon je řízen armádou odborníků z oblasti IT, kteří celý den nedělejí nic kromě toho, aby služba fungovala hladce a bezpečně. Jak je tedy těžké pronásledovat server, který spravují?
Cloud Computing Management Challenges Worldwide v roce 2019
Rogue IT Risks
Uživatelé, kteří vytvářejí své vlastní cloudové služby, obvykle o zabezpečení sítě moc nevědí; kdyby to udělali, nedělali by to, co dělají tak, jak to dělají. Vědí, že chtějí použít nějakou důležitou funkci, kterou cloudová služba nabízí, a pravděpodobně vědí, jak zajistit, aby problém vyřešil. Pokud však jde o konfiguraci brány firewall, nemají tušení, a protože služba běží přes internet (který je stejně dodáván prostřednictvím brány firewall s konfigurací IT), pravděpodobně zjistí, že jsou plně chráněni. Opravdu se obávají, že dělají svou práci tím nejlepším způsobem, jak vědí - což je vlastně dobrá věc.
Pokud tedy vaše reakce na tyto motivované zaměstnance spočívá v tom, že na ně padnou jako tuna cihel, potrestají je a zavřou svůj nečestný mrak, možná budete chtít znovu zvážit. Jistě, možná ignorují pravidla, která jste udělali, aby udrželi kontrolu nad IT. Je ale pravděpodobné, že to dělají z několika dobrých důvodů, přičemž alespoň jedním z nich jste vy.
Nakonec jste vytvořili prostředí a zdá se, že to bylo takové prostředí, ve kterém byl rogue cloud považován za lepší způsob, jak tito lidé dělat svou práci. To znamená, že jako interní poskytovatel IT služeb neodpovídáte rychlostí, kterou podnikání vyžaduje. Tito zaměstnanci dnes potřebovali tuto cloudovou službu; jak dlouho by museli čekat, než jim pomůžeš?
Jak detekovat Rogue IT
Podle Pabla Villarreal, hlavního bezpečnostního důstojníka (CSO) společnosti Globant, společnosti, která pomáhá při digitální transformaci, není hledání nepoctivých cloudových služeb nutně zřejmé. Pokud rogue cloud používá stejného poskytovatele jako zbytek vaší společnosti, může být téměř nemožné rozeznat rozdíl mezi provozem do rogue cloudu a běžným cloudovým provozem. V případě našeho výše uvedeného vývojového serveru, pokud by již společnost měla několik desítek virtualizovaných serverů Amazon, které provádějí další pracovní zatížení, jak snadné by bylo rozlišit její nepoctivý server pouze na základě analýzy provozu? I když to dokáže správně nakonfigurovaný firewall nové generace a vhodný software, práce na jeho provedení je významná.
Villarreal uvedl, že nejúčinnějším způsobem je podívat se na výpisy z kreditní karty, když zaměstnanci odesílají výdaje a hledají je tak. Řešení pro sledování vyšších nákladů mohou být ve skutečnosti nakonfigurována tak, aby označovala specifické typy výdajů, takže je lze alespoň částečně automatizovat. Ale také říká, že váš další krok je kritický, a to spíše oslovuje zaměstnance, než aby na ně tvrdě klesal.
"Nabídka poskytování služeb, které potřebují, " řekl. "Jakmile přijmete nepoctivé služby, můžete navázat vztahy s uživateli."
Řekl, že přijetím nepoctivého cloudu ho můžete přivést do své vlastní bezpečnosti a můžete uživatelům pomoci zajistit, aby mohli efektivně provozovat svou cloudovou instanci. Kromě toho, pokud již používáte cloudové služby, můžete pravděpodobně získat stejnou službu se značnou slevou.
6 kroků k přijetí Rogue IT
Ale nezapomeňte, že každá nepoctivá služba, kterou najdete, ať už je na AWS, nebo je to něco více samostatného, jako je Dropbox Business, je to příznak neuspokojené potřeby. Zaměstnanci potřebovali službu a buď jste ji nemohli poskytnout, když ji potřebovali, nebo nevěděli, že to dokážete. Ať tak či onak, hlavní příčina leží na IT, ale naštěstí lze tyto problémy poměrně snadno vyřešit. Zde je šest kroků, které byste měli podniknout na začátku:
Seznamte se s osobou a zjistěte, proč se rozhodl místo služby IT oddělení vytvořit službu. Je pravděpodobné, že IT trvá reagovat příliš dlouho, ale mohou to být i jiné důvody, včetně zákazu, který by mohl vést k tomu, že nesplní jejich obchodní potřeby.
Zjistěte více o nepoctivé cloudové službě, kterou používají, o tom, co s ní vlastně dělají, a o tom, co udělali pro její ochranu. Musíte se ujistit, že je zabezpečený, když jste v procesu jeho uvedení dovnitř.
Podívejte se na své vlastní postupy. Jak dlouho trvá, než tým požádá o přístup k vašim cloudovým službám? Jak je zapojen schvalovací proces? Kolik pomoci jste ochotni poskytnout? Jak těžké je získat něco jednoduchého, například IP adresu? Jak těžké je zahrnout do plánu zálohování společnosti?
Co může vaše oddělení IT udělat, aby zbytečné cloudové účty nebyly nutné? Můžete například poskytnout prostředky pro rychlé a snadné vytváření účtů u schválených poskytovatelů? Můžete poskytnout firemní cloudový účet, který mohou zaměstnanci používat s minimálním zpožděním? Můžete poskytnout pracovníky, kteří budou pracovat jako konzultanti, protože nikdo z oddělení IT nemá další zaměstnance?
Co může vaše oddělení udělat pro podporu inovací v jiných než IT odděleních? Můžete snad poskytnout nabídku IT služeb, které jsou k dispozici na vyžádání? Možná služba rychlé reakce pro týmy, které dělají něco opravdu inovativního, ale potřebují pomoc, jako je začlenění strojového učení (ML) do části svého podnikání? Pamatujte, že pokud nemůžete nebo nedokážete pomoci, pak se vysoce motivovaný tým pohne dál bez vás a tomu se snažíte zabránit.
Nejdůležitější je využít zkušeností k měření a zlepšování toho, co vaši pracovníci IT reagují rychlostí podnikání.
- Nejlepší hostovaný software pro ochranu a zabezpečení koncových bodů pro rok 2019 Nejlepší hostovaný software pro ochranu a zabezpečení koncových bodů pro rok 2019
- Nejlepší infrastrukturní řešení pro rok 2019 Nejlepší infrastrukturní řešení pro rok 2019
- Nejlepší řešení pro správu mobilních zařízení (MDM) pro rok 2019 Nejlepší řešení pro správu mobilních zařízení (MDM) pro rok 2019
Vím, že v tomto bodě byste to všechno mohli dělat pooh a tvrdit, že nemáte zdroje. Faktem však je, že pokud vaši zaměstnanci sami vykonávají dobrou práci, nepotřebujete příliš mnoho dalších zdrojů. A pokud se pokusíte zabránit takovému druhu činnosti příslovečnou železnou pěstí, bude tato aktivita pravděpodobně pokračovat i v zákulisí - a hrozí vám skutečné riziko, že dojde k bezpečnostní události nebo k selhání podnikání, které bude vyžadovat mnohem více zdrojů než vy. Budu mít.
Dokonce i mega poskytovatelé, jako jsou Amazon a Google, jsou hackováni. Pokud máte na tyto služby hromadu podnikových dat, která nejsou chráněna stejným způsobem jako vaše oficiální prodejny, můžete snadno mít nepříjemný problém a být si toho plně vědomi, až bude příliš pozdě. Jistě, můžete ukázat prstem na uživatele, který se zaregistroval bez svolení, ale to nenaplní rozzlobeného ředitele pro informační bezpečnost (CISO), který chce vědět, proč IT nemůže odpovídat za X procent virtuálních serverů společnosti. A nepomůže to vašim zákazníkům (kteří jsou často nevědomými oběťmi), protože jejich osobní údaje jsou odhaleny.
„Zaměstnanci budou šťastnější, “ zdůraznil Villarreal a zároveň poznamenal, že trestání zaměstnanců za jejich motivaci obecně vede k tomu, že už nebudou motivováni. Za to vám nikdo nebude děkovat. Přijetím nepoctivé služby nejen zvýšíte spokojenost uživatelů a budete je motivovat, ale také zřídíte komunikační kanál založený na důvěře. Pokud vám důvěřují, není důvod se přihlásit k odběru služeb. Jednoduše vás o tom informují, protože víte, že je pro vás oba lepší.
