Nezabíjejte Rogue Cloud Accounts, přijměte je

Z pohledu IT profesionála jsou cloudové služby dvojsečná zbraň. Na jedné straně mohou cloudové služby drasticky snížit náklady a dobu implementace i pokročilých softwarových služeb, protože tyto nyní nevyžadují zdlouhavé nastavování, konfiguraci a testování ani spoustu drahého serverového hardwaru. Stačí si zaregistrovat účet a jít. Na druhou stranu, tato snadná implementace je něco, co se uživatelé také naučili a mnozí z nich si zakládají vlastní servisní účty, buď jako jednotlivci, nebo jako týmy – a používají je k ukládání a manipulaci se všemi druhy podnikových data bez jakékoli správy IT, dokud se něco nepokazí.



IT Watch bug artNepochybně jste se obávali, že vaši zaměstnanci nastavují tento druh „stínové IT“ služby. Dalším běžným příkladem je levný Wi-Fi router . Uživatelé kupují tyto boxy od prodejců, jako je Amazon, a poté je nasazují ve své kanceláři pro lepší propustnost Wi-Fi, ale bez jakéhokoli nastavení brány firewall, na kterém by IT oddělení normálně trvalo. Extrémnější příklad, který se mi stal: pod něčím stolem je server, který hostí celou platformu pro vývoj s nízkým kódem .

Stínové IT nebo systémy informačních technologií (IT) vyvinuté v rámci společnosti jednotlivci jinými než oficiálními IT zaměstnanci mohou představovat vážný problém v oblasti bezpečnosti a ochrany dat. Tyto systémy přinejmenším obsahují služby, které nejsou chráněny ostatními bezpečnostními opatřeními IT. A v nejhorším případě poskytují další a z velké části nechráněný útočný povrch, který se často zadními vrátky dostává přímo do vaší podnikové sítě. Vaše první reakce pravděpodobně tyto zaměstnance vykoření, potrestá a zničí jejich stínové IT.





Možná si myslíte, že nepoctivé cloudové služby nejsou tak závažným problémem jako příklady hardwaru, které jsem právě zmínil, ale ve skutečnosti jsou problémy velmi podobné. Zaměstnanec, řekněme, že je vývojář, se rozhodne rychle zakoupit instanci virtualizovaného cloudového serveru na Amazon Web Services (6 415,00 USD na Amazonu) (AWS) nebo Google Cloud Platform, aby mohla rychle otestovat nějaký nový kód, se kterým je pozadu, aniž by musela čekat. pro žádost o průchod IT. Za pár minut má své vlastní pracovní nasazení. Za službu platí svou kreditní kartou a myslí si, že jakmile je kód schválen, může jej jednoduše zaplatit.

Možná nebudete takového uživatele lovit tak svědomitě jako někoho, kdo nasazuje podvodný směrovač, protože mezi AWS a osobním směrovačem jsou dva klíčové rozdíly: Za prvé, jednoduše najít podvodný server našeho vývojáře není snadné. Jak uvedla společnost pro průzkum trhu Statista (níže), správa a správa více cloudů jsou dvě z největších výzev, kterým čelí IT profesionálové v době cloudu. Jak můžete bez předchozí znalosti neoficiálního účtu tohoto uživatele jej rychle vystopovat, aniž byste zároveň porušili své vlastní bezpečnostní zásady týkající se ochrany soukromí a dat? Zadruhé, Amazon je řízen armádou zkušených IT zaměstnanců, kteří celý den nedělají nic jiného, ​​než že zajišťují hladký a bezpečný chod služby. Jak moc tedy musíte skutečně pronásledovat server, který spravují?



Pouzdro na telefon pixel 3xl
Výzvy správy cloud computingu po celém světě v roce 2019
Celosvětové výzvy pro správu cloud computingu 2019

(Obrazový kredit: Statista )

Nečestná rizika IT

Uživatelé, kteří vytvářejí své vlastní cloudové služby, obvykle o zabezpečení sítě mnoho nevědí; kdyby to dělali, nedělali by to, co dělají, tak, jak to dělají. Vědí, že chtějí použít nějakou důležitou funkci, kterou cloudová služba nabízí, a pravděpodobně vědí, jak ji zprovoznit, aby problém vyřešila. Ale pokud jde o konfiguraci firewallu, nemají ponětí, a protože služba běží přes internet (který je stejně poskytován přes firewall nakonfigurovaný IT), pravděpodobně si myslí, že jsou plně chráněni. Jediné, o co se opravdu starají, je dělat svou práci tím nejlepším způsobem, jak znají – což je vlastně dobře.

Pokud je tedy vaší odpovědí na tyto motivované zaměstnance to, že se na ně vrhnete jako tuna cihel, potrestat je a ukončit jejich zlotřilý cloud, možná byste to měli přehodnotit. Jistě, možná ignorují pravidla, která jste vytvořili, abyste si udrželi kontrolu nad IT. Ale je pravděpodobné, že to dělají z několika dobrých důvodů, alespoň jedním z nich jste vy.

Koneckonců jste vytvořili prostředí a zdá se, že je to prostředí, ve kterém byl nepoctivý cloud považován za lepší způsob, jak mohou tito lidé dělat svou práci. To znamená, že jako interní poskytovatel IT služeb nereagujete rychlostí, kterou firma vyžaduje. Tito zaměstnanci dnes potřebovali cloudovou službu; jak dlouho by museli čekat, než jste jim pomohli?

Sledování podrobností o síťovém provozu

Jak zjistit Rogue IT

Podle Pabla Villarreala, Chief Security Officer (CSO) of Globant , společnost, která pomáhá v digitální transformaci, hledání nepoctivých cloudových služeb není nutně samozřejmé. Pokud nepoctivý cloud využívá stejného poskytovatele jako zbytek vaší společnosti, pak může být téměř nemožné rozeznat rozdíl mezi provozem na nepoctivém cloudu a běžným cloudovým provozem. V případě našeho výše zmíněného vývojářského serveru, pokud by společnost již měla několik desítek virtualizovaných serverů Amazon, které vykonávaly jinou pracovní zátěž, jak snadné by bylo rozlišit její jeden nepoctivý server pouze na základě analýzy provozu? Správně nakonfigurovaný firewall nové generace a vhodný software to sice zvládnou, ale práce, která je k tomu zapotřebí, je značná.

Villarreal řekl, že nejúčinnějším způsobem je podívat se na výpisy z kreditních karet, když zaměstnanci zadávají výdaje, a najít je tak. Vyšší řešení pro sledování výdajů lze ve skutečnosti nakonfigurovat tak, aby označila konkrétní typy výdajů, takže jejich vyhledání může být alespoň trochu automatizované. Ale také říká, že váš další krok je kritický, a tím je oslovit zaměstnance, spíše než na ně tvrdě přistupovat.

'Nabídněte jim služby, které potřebují,' řekl. 'Jakmile přijmete nepoctivé služby, můžete budovat vztahy s uživateli.'

Řekl, že přijetím nepoctivého cloudu jej můžete začlenit do svého vlastního zabezpečení a můžete pomoci uživatelům zajistit, aby mohli efektivně provozovat svou cloudovou instanci. Pokud navíc cloudové služby již využíváte, pak pravděpodobně stejnou službu získáte s výraznou slevou.

Plánování kapacity sítě

6 kroků k přijetí Rogue IT

Ale pamatujte si, že každá nepoctivá služba, kterou najdete, ať už je to na AWS nebo je to něco samostatnějšího, jako je Dropbox Business (6 415,00 $ na Amazonu), je příznakem nenaplněné potřeby. Zaměstnanci potřebovali službu a vy jste ji nemohli poskytnout, když ji potřebovali, nebo nevěděli, že vy můžete. Ať tak či onak, hlavní příčina leží v IT, ale naštěstí se tyto problémy dají relativně snadno opravit. Zde je šest kroků, které byste měli udělat na začátku:

  • Seznamte se s danou osobou a zjistěte, proč se rozhodla vytvořit službu namísto použití IT oddělení. Je pravděpodobné, že IT zabere příliš dlouho, než zareaguje, ale může to být z jiných důvodů, včetně zákazu, který by mohl vést k tomu, že nesplňují jejich obchodní potřeby.

  • Zjistěte více o nečestné cloudové službě, kterou používají, co s ní ve skutečnosti dělají a co udělali pro její ochranu. Během procesu vnášení dovnitř se musíte ujistit, že je v bezpečí.

  • Podívejte se na své vlastní postupy. Jak dlouho trvá, než tým požádá o přístup k vašim cloudovým službám? Jak obsáhlý je proces schvalování? Kolik pomoci jste ochotni poskytnout? Jak těžké je získat něco jednoduchého, jako je IP adresa? Jak těžké je začlenit se do podnikového plánu zálohování?

  • Co může vaše IT oddělení udělat, aby byly nepoctivé cloudové účty zbytečné? Můžete například poskytnout prostředky pro rychlé a snadné vytváření účtů u schválených poskytovatelů? Můžete poskytnout firemní cloudový účet, který mohou zaměstnanci používat s minimálním zpožděním? Můžete poskytnout zaměstnance, kteří budou pracovat jako konzultanti, protože žádné IT oddělení nemá další zaměstnance?

    pouzdro na iphone 5s odolné proti pádu
  • Co může vaše oddělení udělat pro podporu inovací v odděleních mimo IT? Můžete případně poskytnout nabídku IT služeb, které jsou k dispozici na vyžádání? Možná služba rychlé reakce pro týmy, které dělají něco skutečně inovativního, ale které potřebují pomoc, jako je začlenění strojového učení (ML) do části jejich podnikání? Pamatujte, že pokud nemůžete nebo nechcete pomoci, pak vysoce motivovaný tým půjde dál bez vás a tomu se snažíte zabránit.

  • A co je nejdůležitější, využijte tyto zkušenosti k měření a zlepšování toho, co vaši IT zaměstnanci dělají, aby reagovali na rychlost podnikání.

Vím, že v tuto chvíli se o tom všem možná plácáte a tvrdíte, že nemáte prostředky. Faktem ale je, že pokud vaši zaměstnanci sami odvádějí dobrou práci, nepotřebujete mnoho dalších zdrojů. A pokud se pokusíte zabránit tomuto druhu činnosti příslovečnou železnou pěstí, bude tato činnost pravděpodobně pokračovat v zákulisí – a vystavujete se velmi reálnému riziku bezpečnostního incidentu nebo obchodního selhání, které bude vyžadovat mnohem více zdrojů než vy. někdy budu mít.

Dokonce i mega poskytovatelé, jako je Amazon a Google, jsou napadeni. Pokud máte v těchto službách množství podnikových dat, která nejsou chráněna stejně jako vaše oficiální obchody, můžete mít snadno nepříjemný problém a být o něm úplně nevědomí, dokud nebude příliš pozdě. Jistě, můžete ukázat prstem na uživatele, který se přihlásil bez povolení, ale to neuspokojí naštvaného Chief Information Security Officer (CISO), který chce vědět, proč IT nemohlo tvořit X procent virtuálních serverů společnosti. A vašim zákazníkům (kteří jsou často nevědomými oběťmi) to nepomůže, protože jsou to jejich osobní údaje, které jsou nakonec odhaleny.

„Zaměstnanci budou šťastnější [pokud jim pomůžete],“ zdůraznil Villarreal a zároveň poznamenal, že trestání zaměstnanců za jejich motivaci obecně vede k tomu, že již nejsou motivováni. Nikdo vám za to nepoděkuje. Přijetím nečestné služby nejen uděláte uživatelům radost a udržíte je motivované, ale také vytvoříte komunikační kanál založený na důvěře. Pokud vám důvěřují, není důvod se do služeb přihlašovat lstivě. Jednoduše vás budou informovat, jak to dělají, protože víte, že je to pro vás oba lepší.

Doporučená