Съдържание:
Видео: По закону ⚡️ Барбоскины ⚡️ Сборник мультфильмов 2019 (Ноември 2024)
От гледна точка на ИТ специалиста, облачните услуги са меч с две остриета. От една страна, облачните услуги могат драстично да намалят разходите и времето за внедряване дори на усъвършенствани софтуерни услуги, тъй като сега те не изискват продължителни настройки, време за конфигуриране и тестване, нито много скъп сървърен хардуер. Просто се запишете за акаунт и отидете. От друга страна, тази лекота на внедряване е нещо, което потребителите са научили и много от тях създават свои собствени акаунти за услуги, като личности или като екипи - и ги използват за съхраняване и манипулиране на всички видове корпоративни данни без управление на информационните технологии, докато нещо не се обърка.
Системите за информационни технологии в сянка или информационните технологии (ИТ), разработени в рамките на една компания от лица, различни от официалните ИТ служители, могат да бъдат сериозен проблем в сигурността и защитата на данните. Най-малкото тези системи съдържат услуги, които не са защитени от останалите мерки за сигурност, които ИТ използва. И в най-лошия случай, те предоставят допълнителна и до голяма степен незащитена атакуваща повърхност, която често се прави на заден план директно във вашата корпоративна мрежа. Първият ви отговор вероятно ще изкорени тези служители, ще ги накаже и ще унищожи информационните технологии в сянка.
Може би си мислите, че измамните облачни услуги не са толкова сериозен проблем като хардуерните примери, които току-що споменах, но всъщност проблемите са много сходни. Служител, да кажем, че тя е разработчик, решава бързо да закупи виртуализиран облачен сървър екземпляр в Amazon Web Services (AWS) или Google Cloud Platform, така че да може бързо да тества нов код, зад който стои, без да се налага да чака заявка за преминаване през него. След няколко минути тя работи със собствено натоварване. Тя плаща за услугата с кредитната си карта, като смята, че след като кодът бъде одобрен, тя може просто да го разходи.
Възможно е да не ловите такъв потребител така усърдно, както бихте използвали някой измамник, тъй като има две ключови разлики между AWS и личен рутер: Първо, просто намирането на измамния сървър на нашия програмист не е лесно. Както се съобщава от фирмата за проучване на пазара Statista (по-долу), управлението и управлението на много облаци са две от най-големите предизвикателства пред ИТ специалистите в облачната епоха. Без предварително познаване на неофициалния акаунт на този потребител, как да го проследите бързо, без да нарушавате и собствените си политики за сигурност по отношение на поверителността и защитата на данните? Второ, Amazon се управлява от армия от експертни ИТ служители, които не правят нищо през целия ден, освен поддържат плавно и сигурно обслужване. И така, колко трудно наистина трябва да преследвате сървър, който управляват?
Предизвикателства за управлението на облачните компютри по целия свят през 2019 г.
(Изображение за кредит: Statista)
Измамни ИТ рискове
Потребителите, които създават свои облачни услуги, обикновено не знаят много за сигурността на мрежата; ако го направиха, те нямаше да правят това, което правят, както правят. Те знаят, че искат да използват някаква важна функция, която облачната услуга предлага и вероятно знаят как да я накарат да работи за решаване на проблем. Но когато става въпрос за конфигуриране на защитна стена, те нямат представа и тъй като услугата работи през интернет (който така или иначе се доставя чрез IT конфигурирана защитна стена), те вероятно смятат, че са напълно защитени. Всичко, от което наистина се притесняват, вършат работата си по най-добрия начин, по който знаят как - което всъщност е добро нещо.
Така че, ако отговорът ви на тези мотивирани служители е да слезете върху тях като тон от тухли, да ги накажете и да изключите измамения им облак, тогава може да искате да преразгледате. Разбира се, може би те игнорират правилата, които сте направили, за да поддържате контрола върху ИТ. Но, вероятно е, че го правят по няколко добри причини, поне една от тях сте вие.
В края на краищата вие сте създали средата и изглежда е такава, в която облакът от измама се разглежда като по-добрият начин тези хора да си вършат работата. Това означава, че като вътрешен доставчик на ИТ услуги не отговаряте на скоростта, която изисква бизнеса. Тези служители се нуждаеха от облачната услуга днес; колко време биха били необходими да чакат, преди да им помогнете?
Как да разпознаем измамник ИТ
Според Пабло Виляреал, главен служител по сигурността (CSO) на Globant, компания, която помага в дигиталната трансформация, намирането на нелоялни облачни услуги не е непременно очевидно. Ако нечестивият облак използва същия доставчик, какъвто е останалата част от вашата компания, тогава може да е почти невъзможно да се определи разликата между трафика към облачния измама и вашия нормален облачен трафик. В случая на сървъра на нашия горепосочен разработчик, ако компанията вече имаше няколко десетки виртуализирани сървъри на Amazon, които извършват други натоварвания, колко лесно би било лесно да разграничим своя един измамен сървър въз основа единствено на анализ на трафика? Въпреки че правилно конфигурираната защитна стена от ново поколение и подходящ софтуер могат да я направят, работата, необходима за това, е значителна.
Виляреал каза, че най-ефективният начин е да разгледате извлеченията от кредитните карти, когато служителите подават разходи и да ги намерят по този начин. Решенията за проследяване на по-висок клас всъщност могат да бъдат конфигурирани да маркират конкретни типове разходи, така че намирането им може да бъде поне донякъде автоматизирано. Но той също така казва, че следващата ви стъпка е критична и това е да достигнете до служителите, а не да слезете трудно по тях.
"Предлагаме да предоставим услугите, от които се нуждаят", каза той. „След като прегърнете измамните услуги, можете да изградите отношения с потребителите.“
Той каза, че чрез прегръщането на облака, можете да го въведете вътре в собствената си сигурност и можете да помогнете на потребителите да гарантират, че те могат да работят ефективно в облака си. Освен това, ако вече използвате облачни услуги, вероятно можете да получите същата услуга със значителна отстъпка.
6 стъпки към възприемане на Rogue IT
Но не забравяйте, че всяка измамна услуга, която намерите, независимо дали е на AWS или е нещо по-самостоятелно, като Dropbox Business, е симптом на неудовлетворена нужда. Служителите имаха нужда от услуга и или не можехте да я предоставите, когато се нуждаеха, или не знаеха, че можете. Така или иначе първопричината се крие в ИТ, но за щастие тези проблеми са сравнително лесни за отстраняване. Ето шест стъпки, които трябва да направите в началото:
Запознайте се с човека и разберете защо той или тя са избрали да създадат услугата, вместо да използват IT отдела. Вероятно е ИТ да отнеме твърде много време, но може да са други причини, включително забрана, която може да доведе до това, че не отговарят на техните бизнес нужди.
Научете повече за облачната услуга, която използват, какво всъщност правят с нея и какво са направили, за да я защитят. Трябва да се уверите, че е сигурен, докато сте в процес на въвеждане.
Погледнете собствените си процедури. Колко време отнема един екип да поиска достъп до облачните ви услуги? Колко е включен процесът на одобрение? Колко помощ сте готови да предоставите? Колко е трудно да получите нещо просто, като IP адрес? Колко е трудно да се включите в корпоративния резервен план?
Какво може да направи вашия ИТ отдел, за да направи ненужните облачни акаунти ненужни? Например, можете ли да осигурите бързо и лесно средство за създаване на акаунти на одобрени доставчици? Можете ли да предоставите корпоративен облачен акаунт, който служителите могат да използват с минимално забавяне? Можете ли да осигурите персонал, който да работи като консултанти, тъй като никой ИТ отдел няма допълнителен персонал?
Какво може да направи вашия отдел, за да насърчи иновациите в отделите, които не са ИТ? Може ли да предоставите меню от ИТ услуги, които са достъпни при поискване? Може би услуга за бързо реагиране на екипи, които правят нещо наистина иновативно, но които се нуждаят от помощ, като например включване на машинно обучение (МЛ) в част от своя бизнес? Не забравяйте, че ако не можете или няма да помогнете, тогава силно мотивиран екип ще продължи без вас и това се опитвате да предотвратите.
Най-важното е да използвате опита, за да измерите и подобрите какво правят вашите ИТ служители, за да реагират с бързината на бизнеса.
- Най-добрият хостван софтуер за защита и защита на крайната точка за 2019 г. Най-добрият софтуер за защита и защита на крайните точки за 2019 г.
- Най-добрите решения за инфраструктура като услуга за 2019 г. Най-добрите решения за инфраструктура като услуга за 2019 г.
- Най-добрите решения за управление на мобилни устройства (MDM) за 2019 г. Най-добрите решения за управление на мобилни устройства (MDM) за 2019 г.
Знам, че в този момент може би сте пух всичко това, твърдейки, че нямате ресурси. Но факт е, че ако вашите служители вършат добра работа сами, тогава нямате нужда от много по пътя на допълнителни ресурси. И ако се опитате да предотвратите този вид дейност с пословичния железен юмрук, тогава активността вероятно ще продължи зад кулисите - и вие излагате много реалния риск от инцидент със сигурност или бизнес провал, който ще изисква много повече ресурси от вас Ще имам някога.
Дори мега доставчици като Amazon и Google се хакват. Ако имате копия от корпоративни данни за тези услуги, които не са защитени по същия начин, както вашите официални магазини, тогава лесно бихте могли да имате неприятен проблем и да не сте напълно наясно с него, докато не стане твърде късно. Разбира се, можете да насочите пръст към потребителя, който се е регистрирал без разрешение, но това няма да задоволи ядосания Главен служител по сигурността на информацията (CISO), който иска да знае защо ИТ не може да съставлява X процента от виртуалните сървъри на компанията. И няма да помогнете на клиентите си (които често са неволни жертви), тъй като личните им данни се оказват изложени.
„Служителите ще бъдат по-щастливи“, посочи Виляреал, като същевременно отбеляза, че наказанието на служителите за тяхната мотивация като цяло води до това, че те вече не са мотивирани. Никой няма да ви благодари за това. Приемайки измамната услуга, вие не само правите потребителите щастливи и ги поддържате мотивирани, но и създавате комуникационен канал, основан на доверие. Ако ви се доверят, няма причина да се запишете за хитро. Те просто ще ви информират, докато го правят, тъй като знаете, че е по-добре и за двама ви.