Casa Negocis No matisis comptes del núvol no tan sols, abraça-los

No matisis comptes del núvol no tan sols, abraça-los

Taula de continguts:

Vídeo: Cloud Outboard Hardware vs Plugin - Mix Analog Elysia Museq EQ (Part Two) (De novembre 2024)

Vídeo: Cloud Outboard Hardware vs Plugin - Mix Analog Elysia Museq EQ (Part Two) (De novembre 2024)
Anonim

Des del punt de vista d’un professional informàtic, els serveis al núvol són una espasa de doble tall. Per un costat, els serveis al núvol poden reduir dràsticament el cost i el temps d’implantació de serveis de programari fins i tot avançats, ja que ara no requereixen temps de configuració, configuració i proves llargues ni gran quantitat de maquinari car del servidor. Només cal registrar-se en un compte i anar. D'altra banda, aquesta facilitat d'implementació és una cosa que els usuaris han après, i molts d'ells creen els seus propis comptes de servei, ja sigui com a particulars o com a equips, i els utilitzen per emmagatzemar i manipular tot tipus d'empreses. dades sense govern de TI, fins que no vagi malament alguna cosa.

Sens dubte, us heu preocupat perquè els vostres empleats configurin aquest tipus de servei "ombra IT". Un altre exemple freqüent és l’encaminador barat de Wi-Fi. Els usuaris compren aquestes caixes a venedors com Amazon i, després, els despleguen a la seva oficina per obtenir un millor rendiment de Wi-Fi, però sense cap configuració del tallafoc on insistiria. Un exemple més extrem que m’ha passat: hi ha un servidor a la taula d’algú que allotja tota una plataforma de desenvolupament de codi baix.

Els sistemes informàtics Shadow, o sistemes de tecnologia de la informació (IT) desenvolupats en una empresa per persones diferents del personal informàtic oficial, poden ser un greu problema de seguretat i protecció de dades. Com a mínim, aquests sistemes contenen serveis que no estan protegits per la resta de mesures de seguretat que utilitza IT. I en el pitjor, proporcionen una superfície d’atac addicional i en gran mesura sense protecció que sovint es retrocedeix directament a la vostra xarxa corporativa. És probable que la vostra primera resposta destrueixi els seus empleats, els castigi i destrueixi els seus serveis informàtics.

Podríeu pensar que els serveis del núvol no és tan greu com els exemples de maquinari que acabo de mencionar, però en realitat els problemes són molt similars. Una empleada, diguem-ne desenvolupadora, decideix comprar ràpidament una instància del servidor de núvol virtualitzat a Amazon Web Services (AWS) o a Google Cloud Platform perquè pugui provar ràpidament algun codi nou que hi ha al darrere, sense haver d’esperar que hi hagi cap sol·licitud. mitjançant IT. En pocs minuts, corre la seva pròpia càrrega de treball. Ella paga el servei amb la seva targeta de crèdit, pensant que un cop aprovat el codi, només pot gastar-lo.

És possible que no pugueu caçar un usuari tan diligent com algú que implementi un encaminador noia perquè hi ha dues diferències claus entre AWS i un encaminador personal: primer, simplement no és fàcil trobar el servidor del nostre desenvolupador. Segons ha informat la signatura d’estudis de mercat Statista (a sota), la governança i la gestió de diversos núvols són dos dels majors reptes que tenen els professionals de les TI en l’era del núvol. Sense conèixer prèviament el compte no oficial d’aquest usuari, com el feu un seguiment ràpidament sense violar també les vostres polítiques de seguretat en matèria de privadesa i protecció de dades? En segon lloc, Amazon està gestionat per un exèrcit de tècnics experts en TI que no fan res durant tot el dia, excepte mantenir el servei correcte i segur. Així, què tan difícil necessites estar perseguint un servidor que gestionen?

Reptesos de gestió de la computació al núvol a tot el món el 2019

(Crèdit imatge: Statista)

Rogue IT Riscos

Els usuaris que creen els seus propis serveis al núvol normalment no saben molt sobre la seguretat de la xarxa; si ho fessin, no farien el que estan fent de la manera que ho fan. Saben que volen utilitzar alguna característica important que ofereix el servei al núvol i probablement saben com fer-la funcionar per solucionar un problema. Però a l’hora de configurar un tallafoc, no tenen cap idea i, com que el servei s’està publicant a través d’internet (que s’està lliurant a través d’un tallafoc configurat per les TI), probablement s’estima que estan totalment protegits. Tot el que realment es preocupa és fer la seva tasca de la millor manera que saben, cosa que és realment una cosa bona.

De manera que, si la vostra resposta a aquests empleats motivats és que els descobreixin com un munt de maons, castiguin-los i tanquin el seu núvol descarat, potser voldries replantejar-los. Potser, potser ignoraran les normes que vau fer per mantenir el control de la informació. Però és probable que ho facin per diverses bones raons, almenys una d’elles.

Al cap i a la fi heu creat l’ambient i sembla que es tractés d’un núvol canalla com la millor manera perquè aquestes persones facin la seva feina. Això vol dir que, com a proveïdor de serveis informàtics interns, no responiu a la velocitat que necessita el negoci. Aquests empleats necessitaven aquest servei en núvol avui; quant de temps haurien hagut d’esperar abans d’ajudar-los?

Com detectar Rogue IT

Segons Pablo Villarreal, Cap de Seguretat (CSO) de Globant, una empresa que ajuda en la transformació digital, trobar serveis de núvols de malaurada no és necessàriament evident. Si el núvol enraonat utilitza el mateix proveïdor que la resta de la vostra empresa, pot ser gairebé impossible saber quina és la diferència entre el trànsit al núvol canonat i el trànsit normal del núvol. En el cas del servidor del desenvolupador esmentat anteriorment, si la companyia ja tenia unes dotzenes de servidors virtuals d'Amazon que realitzen altres càrregues de treball, com de fàcil seria distingir-ne un servidor descoratjat basat només en l'anàlisi del trànsit? Si bé es pot fer un tallafoc de nova generació i un programari adequat, el treball que cal fer és important.

Vila-real va dir que la manera més eficaç és mirar els estats de la targeta de crèdit quan els empleats presenten despeses i trobar-los així. De fet, es poden configurar solucions de seguiment de despeses superiors per indicar tipus de despeses específics, de manera que trobar-les pot ser almenys una mica automatitzades. Però també diu que el vostre següent pas és crític i que és arribar als empleats en lloc de lluitar-los.

"Oferta per proporcionar els serveis que necessiten", va dir. "Un cop abracin els serveis nocius, podeu crear relacions amb els usuaris."

Va dir que, agrupant el núvol canalla, podeu aportar-lo dins de la vostra pròpia seguretat i podreu ajudar els usuaris a garantir que puguin operar la seva instància del núvol de manera eficient. A més, si ja utilitzeu serveis en núvol, probablement podeu obtenir el mateix servei amb un descompte significatiu.

6 passos per abraçar Togue Rogue

Però recordeu, cada servei de desputació que trobeu, ja sigui en AWS o en alguna cosa més autònom com Dropbox Business, és un símptoma d’una necessitat no satisfeta. Els empleats necessitaven un servei, o bé no el podríeu proporcionar quan ho necessitaven o no sabien que podríeu. De qualsevol forma, la causa principal rau en la TI, però, feliçment, aquests problemes són relativament fàcils de solucionar. A continuació, es detallen els sis passos següents:

    Coneix la persona i descobreix per què ha escollit crear el servei en lloc d’utilitzar el departament d’informàtica. El més probable és que les TI triguin massa a respondre, però poden ser altres motius, com ara una prohibició que pugui suposar que no satisfan les seves necessitats empresarials.

    Obteniu més informació sobre el servei de núvols que estan utilitzant, què fan en realitat i què han fet per protegir-lo. Heu d'assegurar-vos que està segur mentre esteu en procés de portar-lo a dins.

    Mireu els vostres propis procediments. Quant triga un equip a sol·licitar accés als serveis al núvol? Quina importància té el procés d’aprovació? Quina ajuda estàs disposat a proporcionar? Què costa obtenir alguna cosa senzilla, com ara una adreça IP? Què tan difícil és incloure’s al pla de còpia de seguretat corporativa?

    Què pot fer el vostre departament informàtic per fer innecessaris els comptes de núvols? Per exemple, podeu proporcionar un mitjà per crear comptes en proveïdors aprovats de forma ràpida i senzilla? Podeu proporcionar un compte corporatiu que els empleats puguin utilitzar amb un mínim retard? Podeu proporcionar personal que treballi com a consultor, ja que el departament d’informàtica de ningú té personal addicional?

    Què pot fer el vostre departament per fomentar la innovació en departaments no informàtics? Potser podeu oferir un menú de serveis informàtics disponibles a petició? Potser és un servei de reacció ràpida per a equips que estan fent alguna cosa realment innovador però que necessiten ajuda, com ara incorporar l'aprenentatge automàtic (ML) a una part del seu negoci? Recorda que si no pots o no t’ajudaràs, un equip molt motivat seguirà sense tu i això és el que intentes prevenir.

    El més important, utilitzeu l’experiència per mesurar i millorar el que fa el vostre personal informàtic per reaccionar a la velocitat del negoci.

  • El millor programari de protecció i seguretat de l’endpoint final allotjat per al 2019 El millor programari de protecció i seguretat de l’endpoint final allotjat per al 2019
  • Les millors solucions d’infraestructura com a servei per al 2019 Les millors solucions d’infraestructura com a servei per al 2019
  • Les millors solucions de gestió de dispositius mòbils (MDM) per al 2019 Les millors solucions de gestió de dispositius mòbils (MDM) per al 2019

Ja ho sé, és possible que poguessis empènyer tot això afirmant que no tens els recursos. Però el cas és que, si els vostres empleats estan fent una bona tasca ells mateixos, no necessitareu gaire res en forma de recursos addicionals. I si intenteu impedir aquest tipus d’activitats amb el puny de ferro proverbial, l’activitat continuarà entre bastidors i corre el risc real de tenir un incident de seguretat o un fracàs empresarial que requerirà molts més recursos que vosaltres. Ja ho tindré.

Fins i tot mega proveïdors com Amazon i Google es pirategen. Si teniu fitxers de dades corporatius sobre aquests serveis que no estan protegits de la mateixa manera que les vostres botigues oficials, podríeu tenir fàcilment un problema desagradable i que no en tinguis consciència fins que sigui massa tard. Per descomptat, podeu assenyalar l'usuari que es va inscriure sense permís, però això no satisfarà un enfadat cap de seguretat de la informació (CISO) que vol saber per què no podia representar el X per cent dels servidors virtuals de l'empresa. I no va a ajudar els vostres clients (que solen ser víctimes indesitjables) perquè són les seves dades personals les que acaben sent exposades.

"Els empleats seran més feliços", va assenyalar Villarreal, a la vegada que va assenyalar que castigar els empleats per la seva motivació, en general, deixa de ser motivat. Ningú us agrairà per això. En incorporar el servei de desputació, no només es fa feliç als usuaris i se’ls manté motivats, sinó que també estableixes un canal de comunicació basat en la confiança. Si confien en vosaltres, no hi ha cap motiu per registrar-vos als serveis. Simplement us informaran mentre ho fan, ja que conèixer és millor per a tots dos.

No matisis comptes del núvol no tan sols, abraça-los