Innholdsfortegnelse:
Video: SKÁLD - Rún (Oktober 2024)
Fra en IT-fagmanns perspektiv er skytjenester et dobbeltkantet sverd. På den ene siden kan skytjenester drastisk kutte kostnadene og implementeringstiden for til og med avanserte programvaretjenester, siden disse nå ikke krever lange installasjons-, konfigurasjons- og testingstider og heller ikke mye kostbar serverhardware. Bare registrer deg for en konto og gå. På den annen side er denne enkle implementeringen noe brukerne har lært også, og mange av dem setter opp sine egne tjenestekontoer, enten som enkeltpersoner eller som team - og de bruker dem til å lagre og manipulere alle typer bedrifter data uten IT-styring uansett, til noe går galt.
Shadow IT, eller informasjonsteknologi (IT) systemer utviklet i et selskap av andre personer enn offisielle IT-ansatte, kan være et alvorlig sikkerhets- og databeskyttelsesproblem. I det minste inneholder disse systemene tjenester som ikke er beskyttet av resten av sikkerhetstiltakene IT bruker. Og i verste fall gir de en ekstra og stort sett ubeskyttet angrepsflate som ofte dører direkte inn i bedriftens nettverk. Din første respons vil sannsynligvis utrydde disse ansatte, straffe dem og ødelegge deres skygge-IT.
Du kan tro at useriøse skytjenester ikke er så alvorlige av et problem som maskinvareeksemplene jeg nettopp nevnte, men faktisk er problemene veldig like. En ansatt, la oss si at hun er en utvikler, bestemmer seg for å raskt kjøpe en virtualisert skyserverforekomst på Amazon Web Services (AWS) eller Google Cloud Platform, slik at hun raskt kan teste noen nye koder hun står bak, uten å måtte vente på at en forespørsel skal gå gjennom det. Om noen minutter kjører hun sin egen arbeidsmengde. Hun betaler for tjenesten med kredittkortet sitt, og skjønner at når koden først er godkjent, kan hun ganske enkelt koste den.
Det er ikke sikkert at du jakter en slik bruker så nøye som noen som distribuerer en useriøs ruter fordi det er to viktige forskjeller mellom AWS og en personlig ruter: For det første er det ikke enkelt å finne utviklerens useriøse server. Som rapportert av markedsundersøkelsesfirmaet Statista (nedenfor), er styring og multi-cloud management to av de største utfordringene IT-fagfolk står overfor i skyalderen. Uten forkunnskaper om denne brukerens uoffisielle konto, hvordan sporer du den raskt uten også å krenke dine egne sikkerhetsregler angående personvern og databeskyttelse? For det andre administreres Amazon av en hær av ekspert IT-medarbeidere som ikke gjør noe hele dagen, bortsett fra at tjenesten går jevnt og sikkert. Så hvor vanskelig trenger du egentlig å jage en server de administrerer?
Cloud Computing Management utfordrer over hele verden i 2019
Rogue IT-risiko
Brukere som oppretter sine egne skytjenester, vet vanligvis ikke så mye om nettverkssikkerhet; hvis de gjorde det, ville de ikke gjort det de gjør slik de gjør det. De vet at de vil bruke en viktig funksjon som skytjenesten tilbyr, og at de sannsynligvis vet hvordan de kan få det til å løse et problem. Men når det gjelder konfigurering av en brannmur, har de ingen anelse, og siden tjenesten kjører over internett (som uansett blir levert via en IT-konfigurert brannmur), antar de at de er fullstendig beskyttet. Alt de virkelig bekymrer seg for er å gjøre jobben sin på den beste måten de vet hvordan - noe som faktisk er bra.
Så hvis svaret ditt til disse motiverte medarbeiderne er å komme ned på dem som massevis av murstein, straffe dem og slå av deres useriøse sky, kan det være lurt å vurdere på nytt. Jada, kanskje de ignorerer reglene du laget for å holde kontrollen over IT. Men sjansen er stor for at de gjør det av flere gode grunner, i det minste en av dem er deg.
Du har tross alt skapt miljøet, og det ser ut til å være en der en useriøs sky ble sett på som den bedre måten for disse menneskene å gjøre jobbene sine. Dette betyr at du som en intern IT-leverandør ikke svarer med den hastigheten virksomheten krever. Disse ansatte trengte den skytjenesten i dag; hvor lenge ville de ha trengt å vente før du hjalp dem?
Slik oppdager Rogue IT
I følge Pablo Villarreal, Chief Security Officer (CSO) i Globant, et selskap som hjelper til med digital transformasjon, er ikke nødvendigvis å finne useriøse skytjenester. Hvis den useriøse skyen bruker den samme leverandøren som resten av selskapet ditt, kan det være nesten umulig å fortelle forskjellen mellom trafikken til den useriøse skyen og til din normale skytrafikk. Når det gjelder vår nevnte utvikler-server, hvis selskapet allerede hadde noen få dusin virtualiserte Amazon-servere som gjorde andre arbeidsmengder, hvor lett ville det da være å skille hennes ene useriøse server utelukkende basert på trafikkanalyse? Mens en riktig konfigurert neste generasjons brannmur og passende programvare kan gjøre det, er arbeidet som kreves for å gjøre det betydelig.
Villarreal sa at den mest effektive måten er å se på kredittkortoppgavene når ansatte sender inn utgifter og finner dem på den måten. Løsninger for høyere sporing av utgifter kan faktisk konfigureres til å flagge spesifikke utgiftstyper, slik at det å finne dem kan være i det minste noe automatisert. Men han sier også at neste trinn er kritisk, og det er å nå ut til ansatte i stedet for å komme hardt ned på dem.
"Tilby å tilby tjenestene de trenger, " sa han. "Når du tar til deg de useriøse tjenestene, kan du bygge relasjoner med brukerne."
Han sa at ved å omfavne den useriøse skyen, kan du bringe den inn i din egen sikkerhet, og du kan hjelpe brukerne med å sikre at de kan betjene sin skyinstans effektivt. I tillegg, hvis du allerede bruker skytjenester, kan du sannsynligvis få den samme tjenesten til en betydelig rabatt.
6 trinn for å omfavne Rogue IT
Men husk at hver useriøse tjeneste du finner, enten det er på AWS eller om det er noe mer selvforsynt som Dropbox Business, det er et symptom på et uoppfylt behov. De ansatte trengte en tjeneste, og enten kunne du ikke tilby den når de trengte den, eller de visste ikke at du kunne. Uansett ligger årsaken til IT, men heldigvis er disse problemene relativt enkle å fikse. Her er seks trinn du bør ta fra begynnelsen:
Bli kjent med personen, og finn ut hvorfor han eller hun valgte å opprette tjenesten i stedet for å bruke IT-avdelingen. Sjansen er stor for at IT tar for lang tid å svare, men det kan være andre grunner, inkludert et forbud som kan føre til at de ikke oppfyller forretningsbehovene.
Finn ut mer om den useriøse skytjenesten de bruker, hva de faktisk gjør med den og hva de har gjort for å beskytte den. Du må sørge for at den er sikker mens du er i ferd med å bringe den inn.
Se på dine egne prosedyrer. Hvor lang tid tar det for et team å be om tilgang til skytjenestene dine? Hvor involvert er godkjenningsprosessen? Hvor mye hjelp er du villig til å gi? Hvor vanskelig er det å få til noe enkelt, for eksempel en IP-adresse? Hvor vanskelig er det å bli inkludert i bedriftens backup-plan?
Hva kan IT-avdelingen din gjøre for å unødvendige useriøse skykontoer? Kan du for eksempel gi et middel for å opprette kontoer hos godkjente leverandører raskt og enkelt? Kan du tilby en bedriftsky-konto som ansatte kan bruke med minimal forsinkelse? Kan du gi ansatte til å jobbe som konsulenter siden ingen IT-avdeling har ekstra ansatte?
Hva kan avdelingen din gjøre for å fremme innovasjon i avdelinger som ikke er IT? Kan du kanskje tilby en meny med IT-tjenester som er tilgjengelige på forespørsel? Kanskje en hurtigreaksjonstjeneste for team som gjør noe virkelig nyskapende, men som trenger hjelp, for eksempel å innlemme maskinlæring (ML) i en del av virksomheten? Husk at hvis du ikke kan eller ikke vil hjelpe, vil et høyt motivert team gå videre uten deg, og det er det du prøver å forhindre.
Det viktigste er å bruke opplevelsen til å måle og forbedre det IT-personalet ditt gjør for å reagere med hastigheten på virksomheten.
- Den beste vertsmessige endepunktbeskyttelses- og sikkerhetsprogramvaren for 2019 Den beste vertsbaserte endepunktbeskyttelse og sikkerhetsprogramvare for 2019
- De beste løsningene for infrastruktur-som-en-tjeneste for 2019 De beste løsningene for infrastruktur-som-en-tjeneste for 2019
- De beste løsningene for mobile enheter (MDM) for 2019 De beste løsningene for mobile enheter (MDM) for 2019
Jeg vet på dette tidspunktet, du kan kvise alt dette og hevde at du ikke har ressursene. Men faktum er at hvis dine ansatte gjør en god jobb selv, trenger du ikke mye i veien for flere ressurser. Og hvis du prøver å forhindre denne typen aktiviteter med den ordspråklige jernneven, vil aktiviteten sannsynligvis fortsette bak kulissene - og du risikerer en veldig reell risiko for å ha en sikkerhetshendelse eller en virksomhetssvikt som vil kreve langt mer ressurser enn deg Jeg har noen gang.
Til og med megaprodusenter som Amazon og Google blir hacket. Hvis du har mange bedriftsdata om disse tjenestene som ikke er beskyttet på samme måte som de offisielle butikkene dine, kan du lett ha et stygt problem og være helt uvitende om det til det er for sent. Jada, du kan rette en finger mot brukeren som meldte seg på uten tillatelse, men det kommer ikke til å tilfredsstille en sint Chief Information Security Officer (CISO) som vil vite hvorfor IT ikke kunne utgjøre X prosent av selskapets virtuelle servere. Og det kommer ikke til å hjelpe kundene dine (som ofte er uvettige ofre) fordi det er deres personlige data som ender med å bli utsatt.
"Ansatte vil være lykkeligere, " påpekte Villarreal, mens han også bemerket at å straffe ansatte for deres motivasjon generelt fører til at de ikke lenger blir motiverte. Ingen kommer til å takke for det. Ved å omfavne den useriøse tjenesten gjør du ikke bare brukere glade og holder dem motiverte, du etablerer også en kommunikasjonskanal basert på tillit. Hvis de stoler på deg, er det ingen grunn til å registrere deg for tjenester. De vil ganske enkelt informere deg når de gjør det, siden du vet at det er bedre for dere begge.
