Inhoudsopgave:
Video: 1 KILL = REMOVE 1 CLOTHING w/GIRLFRIEND! (Among Us Challenge) (November 2024)
Vanuit het perspectief van een IT-professional zijn cloudservices een tweesnijdend zwaard. Aan de ene kant kunnen cloudservices de kosten en implementatietijd van zelfs geavanceerde softwareservices drastisch verlagen, omdat deze nu geen lange installatie-, configuratie- en testtijden vereisen, noch veel dure serverhardware. Meld u aan voor een account en ga. Aan de andere kant is dit gemak van implementatie ook iets dat gebruikers hebben geleerd, en velen van hen zetten hun eigen serviceaccounts op, hetzij als individuen of als teams - en ze gebruiken ze om allerlei soorten bedrijven op te slaan en te manipuleren gegevens zonder IT-governance, totdat er iets misgaat.
Schaduw-IT of IT-systemen (IT) die binnen een bedrijf zijn ontwikkeld door andere personen dan officieel IT-personeel, kunnen een ernstig beveiligings- en gegevensbeschermingsprobleem zijn. Op zijn minst bevatten deze systemen services die niet worden beschermd door de rest van de beveiligingsmaatregelen die IT hanteert. En in het ergste geval bieden ze een extra en grotendeels onbeschermd aanvalsoppervlak dat vaak rechtstreeks toegang biedt tot uw bedrijfsnetwerk. Uw eerste reactie zal deze werknemers waarschijnlijk uitroeien, straffen en hun schaduw-IT vernietigen.
Je denkt misschien dat malafide cloudservices niet zo'n ernstig probleem zijn als de hardwarevoorbeelden die ik zojuist noemde, maar eigenlijk zijn de problemen erg vergelijkbaar. Een medewerker, laten we zeggen dat ze een ontwikkelaar is, besluit snel een gevirtualiseerde cloud-serverinstantie op Amazon Web Services (AWS) of Google Cloud Platform te kopen, zodat ze snel een aantal nieuwe code kan testen waar ze achter zit, zonder te hoeven wachten op een verzoek om te gaan er doorheen. Binnen enkele minuten heeft ze haar eigen werklast. Ze betaalt voor de service met haar creditcard en denkt dat ze, zodra de code is goedgekeurd, deze gewoon kan kosten.
Misschien jaag je niet zo ijverig op zo'n gebruiker als iemand die een malafide router implementeert, omdat er twee belangrijke verschillen zijn tussen AWS en een persoonlijke router: ten eerste is het eenvoudig om de malafide server van onze ontwikkelaar te vinden. Zoals gemeld door marktonderzoeksbureau Statista (hieronder), zijn governance en multi-cloudbeheer twee van de grootste uitdagingen voor IT-professionals in het cloudtijdperk. Hoe kunt u dit zonder voorafgaande kennis van het niet-sociale account van deze gebruiker snel opsporen zonder ook uw eigen beveiligingsbeleid met betrekking tot privacy en gegevensbescherming te schenden? Ten tweede wordt Amazon beheerd door een leger van deskundige IT-medewerkers die de hele dag niets doen behalve de service soepel en veilig laten werken. Dus hoe moeilijk moet je echt achter een server aan gaan die ze beheren?
Cloud Computing Management-uitdagingen wereldwijd in 2019
Rogue IT-risico's
Gebruikers die hun eigen cloudservices maken, weten meestal niet veel over netwerkbeveiliging; als ze dat deden, zouden ze niet doen wat ze doen zoals ze het doen. Ze weten dat ze een belangrijke functie van de cloudservice willen gebruiken en weten waarschijnlijk hoe ze het kunnen laten werken om een probleem op te lossen. Maar als het gaat om het configureren van een firewall, hebben ze geen idee, en omdat de service wordt uitgevoerd via internet (die toch wordt geleverd via een IT-geconfigureerde firewall), denken ze waarschijnlijk dat ze volledig beschermd zijn. Het enige waar ze zich echt zorgen over maken, is hun werk doen op de beste manier die ze weten - wat eigenlijk een goede zaak is.
Dus als uw reactie op deze gemotiveerde medewerkers is om op hen af te komen als een ton stenen, hen te straffen en hun frauduleuze wolk te sluiten, dan wilt u misschien heroverwegen. Natuurlijk negeren ze misschien de regels die je hebt gemaakt om de controle over IT te houden. Maar de kans is groot dat ze het om verschillende goede redenen doen, waarvan minstens één jij bent.
Je hebt tenslotte de omgeving gecreëerd en het lijkt er een te zijn waarin een malafide cloud werd gezien als de betere manier voor deze mensen om hun werk te doen. Dit betekent dat u als interne IT-serviceprovider niet reageert met de snelheid die het bedrijf nodig heeft. Deze werknemers hadden die cloudservice vandaag nodig; hoe lang hadden ze moeten wachten voordat je hen hielp?
Hoe Rogue IT te detecteren
Volgens Pablo Villarreal, Chief Security Officer (CSO) van Globant, een bedrijf dat helpt bij digitale transformatie, is het niet per se vanzelfsprekend om malafide cloudservices te vinden. Als de malafide cloud dezelfde provider gebruikt als de rest van uw bedrijf, is het bijna onmogelijk om het verschil te zien tussen het verkeer naar de malafide cloud en uw normale cloudverkeer. In het geval van de server van onze bovengenoemde ontwikkelaar, als het bedrijf al een paar dozijn gevirtualiseerde Amazon-servers had die andere werklasten deden, hoe gemakkelijk zou het dan zijn om haar ene frauduleuze server te onderscheiden uitsluitend op basis van verkeersanalyse? Hoewel een goed geconfigureerde next-generation firewall en de juiste software dit kunnen doen, is het werk dat daarvoor nodig is aanzienlijk.
Villarreal zei dat de meest effectieve manier is om naar de creditcardafschriften te kijken wanneer werknemers uitgaven indienen en deze op die manier vinden. Hogere kostenoplossingsoplossingen kunnen zelfs worden geconfigureerd om specifieke soorten uitgaven te markeren, dus het vinden ervan kan op zijn minst enigszins geautomatiseerd zijn. Maar hij zegt ook dat uw volgende stap van cruciaal belang is, en dat is het bereiken van werknemers in plaats van hard op hen af te rekenen.
"Bied aan om de diensten te bieden die ze nodig hebben, " zei hij. "Zodra je de malafide diensten omarmt, kun je relaties opbouwen met de gebruikers."
Hij zei dat door de malafide cloud te omarmen, je deze in je eigen beveiliging kunt brengen en dat je de gebruikers kunt helpen ervoor te zorgen dat ze hun cloudinstantie efficiënt kunnen bedienen. Als u al cloudservices gebruikt, kunt u waarschijnlijk dezelfde service krijgen met een aanzienlijke korting.
6 stappen om Rogue IT te omarmen
Maar vergeet niet dat elke malafide service die je tegenkomt, of het nu op AWS is of iets meer op zichzelf staat, zoals Dropbox Business, een symptoom is van een onvervulde behoefte. De medewerkers hadden een service nodig, of je kon het niet bieden wanneer ze het nodig hadden of ze wisten niet dat je dat kon. Hoe dan ook, de oorzaak ligt bij IT, maar gelukkig zijn deze problemen relatief eenvoudig op te lossen. Hier zijn zes stappen die u vanaf het begin moet nemen:
Leer de persoon kennen en ontdek waarom hij of zij ervoor heeft gekozen om de service te maken in plaats van de IT-afdeling te gebruiken. De kans is groot dat IT er te lang over doet om te reageren, maar dit kunnen andere redenen zijn, waaronder een verbod dat ertoe kan leiden dat ze niet aan hun zakelijke behoeften voldoen.
Lees meer over de malafide cloudservice die ze gebruiken, wat ze ermee doen en wat ze hebben gedaan om het te beschermen. Je moet ervoor zorgen dat het veilig is terwijl je het naar binnen brengt.
Kijk naar je eigen procedures. Hoe lang duurt het voordat een team toegang tot uw cloudservices aanvraagt? Hoe betrokken is het goedkeuringsproces? Hoeveel hulp ben je bereid te bieden? Hoe moeilijk is het om iets eenvoudigs te krijgen, zoals een IP-adres? Hoe moeilijk is het om opgenomen te worden in het back-upplan van het bedrijf?
Wat kan uw IT-afdeling doen om rogue cloud-accounts overbodig te maken? Kunt u bijvoorbeeld een manier bieden om snel en gemakkelijk accounts te maken bij goedgekeurde providers? Kunt u een zakelijke cloudaccount bieden die werknemers met minimale vertraging kunnen gebruiken? Kunt u personeel aan het werk zetten als adviseur, omdat de IT-afdeling van niemand extra personeel heeft?
Wat kan uw afdeling doen om innovatie op niet-IT-afdelingen te bevorderen? Kunt u misschien een menu bieden met IT-services die op aanvraag beschikbaar zijn? Misschien een snelle reactieservice voor teams die iets heel innovatiefs doen, maar die hulp nodig hebben, zoals het integreren van machine learning (ML) in een deel van hun bedrijf? Vergeet niet dat als je niet kunt of wil helpen, een zeer gemotiveerd team verder gaat zonder jou en dat is wat je probeert te voorkomen.
Het belangrijkste is dat u de ervaring gebruikt om te meten en te verbeteren wat uw IT-personeel doet om snel te reageren.
- De best gehoste eindpuntbeveiliging en beveiligingssoftware voor 2019 De best gehoste eindpuntbeveiliging en beveiligingssoftware voor 2019
- De beste infrastructuur-als-service-oplossingen voor 2019 De beste infrastructuur-als-service-oplossingen voor 2019
- De beste MDM-oplossingen (Mobile Device Management) voor 2019 De beste MDM-oplossingen (Mobile Device Management) voor 2019
Ik weet dat je op dit punt misschien dit alles pooh-pooh-pooht, bewerend dat je de middelen niet hebt. Maar het feit is dat als uw werknemers zelf goed werk verrichten, u niet veel extra middelen nodig hebt. En als u dit soort activiteit probeert te voorkomen met de spreekwoordelijke ijzeren vuist, dan zal de activiteit waarschijnlijk achter de schermen doorgaan - en loopt u het zeer reële risico van een beveiligingsincident of een bedrijfsfalen dat veel meer middelen vereist dan u zal het ooit hebben gedaan.
Zelfs megaproviders zoals Amazon en Google worden gehackt. Als u bedrijfsgegevens over deze services hebt die niet op dezelfde manier worden beschermd als uw officiële winkels, dan kunt u gemakkelijk een smerig probleem hebben en er zich helemaal niet van bewust zijn tot het te laat is. Natuurlijk, je kunt een vinger wijzen naar de gebruiker die zich zonder toestemming heeft aangemeld, maar dat zal geen boze Chief Information Security Officer (CISO) tevreden stellen die wil weten waarom IT X procent van de virtuele servers van het bedrijf niet kon verklaren. En het zal uw klanten niet helpen (die vaak de onwetende slachtoffers zijn) omdat het hun persoonlijke gegevens zijn die worden blootgesteld.
"Werknemers zullen gelukkiger zijn, " merkte Villarreal op, en merkte ook op dat het straffen van werknemers voor hun motivatie er meestal toe leidt dat ze niet langer gemotiveerd zijn. Niemand zal je daarvoor bedanken. Door de malafide service te omarmen, maak je gebruikers niet alleen blij en gemotiveerd, maar creëer je ook een communicatiekanaal op basis van vertrouwen. Als ze je vertrouwen, is er geen reden om je snel aan te melden voor services. Ze zullen je gewoon informeren terwijl ze het doen, omdat jullie weten beter is voor jullie beiden.
