אל תהרוג חשבונות ענן סוררים, חבק אותם

מנקודת מבט של איש IT, שירותי ענן הם חרב פיפיות. מצד אחד, שירותי ענן יכולים לקצץ בצורה דרסטית את העלות וזמן היישום של שירותי תוכנה מתקדמים אפילו מכיוון שכעת אינם דורשים התקנת זמן, תצורה ובדיקות ארוכות ואף לא חומרת שרת יקרה. פשוט הרשם לחשבון ולך. מצד שני, קלות ההטמעה הזו היא משהו שמשתמשים למדו, ורבים מהם מקימים חשבונות שירות משלהם, או כיחידים או כצוותים - והם משתמשים בהם כדי לאחסן ולתפעל את כל סוגי התאגידים. נתונים ללא ממשל IT כלשהו, ​​עד שמשהו ישתבש.

אין ספק שאתה דואג שהעובדים שלך יקימו שירות מסוג זה "צל IT". דוגמא נפוצה נוספת היא הנתב ה- Wi-Fi הזול. משתמשים קונים תיבות אלה מספקים כמו אמזון, ואז פורסים אותם במשרדם לטובת תפוקת Wi-Fi טובה יותר, אך ללא כל הגדרות חומת האש עליהן בדרך כלל יתעקש. דוגמה קיצונית יותר שקרה לי: יש שרת מתחת לשולחן של מישהו שמארח פלטפורמת פיתוח שלמה בעלת קוד נמוך.

מערכות IT ו- Shadow או טכנולוגיות מידע (IT) שפותחו בחברה על ידי אנשים שאינם אנשי IT רשמיים, עלולות להוות בעיית אבטחה והגנה על נתונים רצינית. לכל הפחות, מערכות אלה מכילות שירותים שאינם מוגנים על ידי שאר אמצעי האבטחה ש- IT מפעילה. ובמקרה הגרוע, הם מספקים משטח התקפה נוסף ולא מוגן ברובו, שלעתים קרובות נפתח ישירות לרשת הארגונית שלך. התגובה הראשונה שלך עשויה לשרש עובדים אלה, להעניש אותם ולהשמיד את ה- IT שלהם בצל.

אתה יכול לחשוב ששירותי ענן סוררים אינם חמורים מבעיה כמו דוגמאות החומרה שציינתי זה עתה, אך למעשה הבעיות דומות מאוד. עובדת, נניח שהיא מפתחת, מחליטה לרכוש במהירות מופע שרת ענן וירטואליסטי בשירותי האינטרנט של אמזון (AWS) או פלטפורמת הענן של גוגל כך שתוכל לבדוק במהירות כמה קוד חדש שעומד מאחוריה, מבלי שתצטרך לחכות לבקשה שתעבור דרך זה. תוך מספר דקות היא מריצה עומס עבודה משלה. היא משלמת עבור השירות בכרטיס האשראי שלה, ומחשבת שברגע שאושר הקוד, היא יכולה פשוט להוציא אותו.

אתה לא יכול לצוד משתמש כזה בחריצות כמו שאתה מישהו שמפרס נתב סוררים מכיוון שיש שני הבדלים עיקריים בין AWS לנתב אישי: ראשית, פשוט למצוא את השרת הסוררים של המפתח שלנו זה לא קל. כפי שפורסם על ידי חברת מחקר שוק סטטיסטיקה (להלן), ממשל וניהול רב ענן הם שני האתגרים הגדולים העומדים בפני אנשי IT בעידן הענן. ללא ידיעה מוקדמת בחשבון הלא-חברתי של משתמש זה, כיצד אתה עוקב אחריו במהירות מבלי להפר גם את מדיניות האבטחה שלך בנוגע לפרטיות והגנת נתונים? שנית, אמזון מנוהלת על ידי צבא של עובדי IT מומחים שלא עושים דבר כל היום מלבד שמירה על שירות פועל בצורה חלקה ובטוחה. אז כמה קשה אתה באמת צריך לרדוף אחר שרת שהם מנהלים?

ניהול מחשוב ענן אתגרים ברחבי העולם בשנת 2019

(זיכוי תמונה: סטטיסטה)

סיכוני IT נוכלים

משתמשים שיוצרים שירותי ענן משלהם בדרך כלל לא יודעים הרבה על אבטחת רשת; אם הם היו עושים, הם לא היו עושים את מה שהם עושים כמו שהם עושים את זה. הם יודעים שהם רוצים להשתמש בתכונה חשובה ששירות הענן מציע והם ככל הנראה יודעים לגרום לזה לעבוד כדי לפתור בעיה. אך כשמדובר בתצורת חומת אש, אין להם שום מושג, ומכיוון שהשירות פועל דרך האינטרנט (שממילא מועבר באמצעות חומת אש המוגדרת באמצעות IT), הם כנראה חושבים שהם מוגנים לחלוטין. כל מה שהם באמת דואגים לעשות הוא לעשות את העבודה שלהם בצורה הטובה ביותר שהם יודעים איך - וזה באמת דבר טוב.

לכן, אם תגובתכם לעובדים בעלי מוטיבציה זו היא לרדת עליהם כמו טון לבנים, להעניש אותם ולכבות את הענן הסוררים שלהם, אולי כדאי לכם לשקול מחדש. בטח, אולי הם מתעלמים מהחוקים שביצעת בכדי לשמור על שליטת ה- IT. אבל, רוב הסיכויים שהם עושים זאת מכמה סיבות טובות, שלפחות אחת מהן אתה.

בכל זאת יצרת את הסביבה, ונראה שהיא כזו שבה ענן נוכל נתפס כדרך הטובה יותר עבור האנשים האלה לבצע את עבודתם. המשמעות היא, כספק שירותי IT פנימי, אינך מגיב במהירות הדרושה לעסק. עובדים אלה היו זקוקים לשירות ענן זה כיום; כמה זמן הם היו צריכים לחכות לפני שתעזור להם?

כיצד לגלות את ה- Rogue

לדברי פבלו וילריאל, קצין הביטחון הראשי (CSO) מ"גלובנט ", חברה המסייעת בשינוי דיגיטלי, מציאת שירותי ענן סוררים אינה בהכרח ברורה. אם הענן הסורר משתמש באותו ספק בו שאר חברתך, ייתכן שכמעט בלתי אפשרי להבין את ההבדל בין התנועה לענן הסוררים לתעבורת הענן הרגילה שלך. במקרה של שרת המפתח שהוזכר לעיל, אם לחברה היו כבר כמה עשרות שרתי אמזון וירטואליים שעושים עומסי עבודה אחרים, כמה קל היה להבחין בשרת הסוררים האחד שלה המבוסס אך ורק על ניתוח תנועה? בעוד שחומת אש המוגדרת כהלכה של הדור הבא ותוכנה מתאימה יכולה לעשות זאת, העבודה הנדרשת לשם כך היא משמעותית.

ויאריאל אמר כי הדרך היעילה ביותר היא להסתכל על דפי כרטיס האשראי כאשר העובדים מגישים הוצאות ומוצאים אותם כך. למעשה ניתן להגדיר פתרונות למעקב אחר הוצאות גבוהות יותר כך שתסמן סוגי הוצאות ספציפיים, כך שמציאתם יכולה להיות לפחות אוטומטית במקצת. אבל הוא גם אומר שהצעד הבא שלך הוא קריטי, וזה פונה לעובדים ולא לרדת עליהם קשה.

"הצע לספק את השירותים שהם צריכים, " אמר. "ברגע שתחבק את השירותים הסוררים, אתה יכול לבנות מערכות יחסים עם המשתמשים."

הוא אמר שעל ידי חיבוק הענן הסורר אתה יכול להכניס אותו לביטחון שלך, ותוכל לעזור למשתמשים להבטיח שהם יכולים להפעיל את מופע הענן שלהם ביעילות. בנוסף, אם אתה כבר משתמש בשירותי ענן, סביר להניח שאתה יכול לקבל את אותו השירות בהנחה משמעותית.

6 שלבים לחיבוק ה- Rogue IT

אך זכרו, כל שירות סוררים שתמצאו, בין אם מדובר ב- AWS ובין אם מדובר במשהו עצמאי יותר כמו Dropbox Business, זהו סימפטום של צורך שלא נענה. העובדים היו זקוקים לשירות, או שלא יכולת לספק אותו כשהם היו צריכים אותו או שהם לא ידעו שאתה יכול. כך או כך, הגורם העיקרי טמון ב- IT, אך למרבה המזל, בעיות אלה קלות יחסית לתיקון. להלן שישה צעדים שכדאי לנקוט בהתחלה:

הכירו את האדם ולברר מדוע הוא או היא בחרו ליצור את השירות במקום להשתמש במחלקת ה- IT. רוב הסיכויים ש- IT לוקח זמן רב מדי להגיב, אך יכולות להיות סיבות אחרות, כולל איסור שיכול לגרום לכך שלא יענו על צרכיהם העסקיים.

גלה מידע נוסף על שירות הענן הסוררים שהם משתמשים בו, מה הם בעצם עושים בו ומה הם עשו כדי להגן עליו. אתה צריך לוודא שהוא מאובטח כשאתה בתהליך להכנסתו פנימה.

הסתכל על הנהלים שלך. כמה זמן לוקח לצוות לבקש גישה לשירותי הענן שלך? עד כמה מעורב תהליך האישור? כמה עזרה אתה מוכן לספק? כמה קשה להשיג משהו פשוט, כמו למשל כתובת IP? כמה קשה להיכלל בתוכנית הגיבוי הארגונית?

מה יכולה מחלקת ה- IT שלך לעשות כדי להפסיק חשבונות ענן סוררים? לדוגמה, האם אתה יכול לספק אמצעי ליצירת חשבונות על ספקים מאושרים במהירות ובקלות? האם אתה יכול לספק חשבון ענן ארגוני בו עובדים יכולים להשתמש בעיכוב מינימלי? האם אתה יכול לספק צוות שיעבוד כיועצים מכיוון שבמחלקת ה- IT של אף אחד אין צוות נוסף?

מה יכולה המחלקה שלך לעשות כדי לטפח חדשנות במחלקות שאינן IT? האם אתה יכול לספק תפריט של שירותי IT הזמינים לפי בקשה? אולי שירות של תגובה מהירה לצוותים שעושים משהו חדשני באמת אך זקוקים לעזרה, כמו שילוב למידת מכונה (ML) בחלק מהעסק שלהם? זכור, אם אינך יכול או לא תעזור, צוות מוטיבציה גבוהה ימשיך בלעדיך וזה מה שאתה מנסה למנוע.

והכי חשוב, השתמש בחוויה כדי למדוד ולשפר את מה שעובדי ה- IT שלך עושים כדי להגיב במהירות העסקית.

• תוכנת ההגנה וההגנה על נקודות הקצה המתארחות הטובות ביותר לשנת 2019
• פתרונות התשתית והשירות הטובים ביותר לשנת 2019. פתרונות התשתית והשירות הטובים ביותר לשנת 2019
• הפתרונות הטובים ביותר לניהול מכשירים ניידים (MDM) לשנת 2019 הפתרונות הטובים ביותר לניהול מכשירים ניידים (MDM) לשנת 2019

אני יודע בנקודה זו, אתה עלול לדפוק את כל זה בטענה שאין לך את המשאבים. אך העובדה היא שאם העובדים שלך עושים עבודה טובה בעצמם, אז אתה לא צריך הרבה בדרך של משאבים נוספים. ואם תנסו למנוע פעילות מסוג זה עם אגרוף הברזל האמתי, סביר להניח שהפעילות תמשיך מאחורי הקלעים - ואתם מסתכנים בסכנה ממשית לאירוע ביטחון או כישלון עסקי שיחייב הרבה יותר משאבים מכם אי פעם יהיה לי.

אפילו ספקי מגה כמו אמזון וגוגל נפרצים. אם יש לך מגוון של נתונים ארגוניים בשירותים אלה שאינם מוגנים באותה צורה שבה החנויות הרשמיות שלך, אז אתה יכול בקלות להיתקל בבעיה מגעילה ולהיות מודע לכך לחלוטין עד שיהיה מאוחר מדי. בטח, אתה יכול להפנות אצבע אל המשתמש שנרשם ללא אישור, אבל זה לא יביא את רצונו של קצין אבטחת מידע כועס (CISO) שרוצה לדעת מדוע ה- IT אינו יכול להוות X אחוז מהשרתים הווירטואליים של החברה. וזה לא יעזור ללקוחות שלך (שלעתים קרובות הם הקורבנות הבלתי מודעים) מכיוון שהנתונים האישיים שלהם הם שמסתיימים בחשיפה.

"עובדים יהיו מאושרים יותר", ציין ויאריאל, תוך שהוא מציין כי ענישת עובדים על המוטיבציה שלהם בדרך כלל גורמת לכך שהם כבר לא מונעים. איש לא מוכן להודות לך על כך. על ידי חיבוק השירות הסורר, אתה לא רק משמח משתמשים ושומר עליהם על מוטיבציה, אתה גם מקים ערוץ תקשורת המבוסס על אמון. אם הם סומכים עליך, אין סיבה להירשם לשירותים בערמומיות. הם פשוט יודיעו לך בזמן שהם עושים זאת, מכיוון שאתה יודע שיותר טוב לשניך.