อย่าทำลายบัญชีคลาวด์ที่หลอกลวง

จากมุมมองของผู้เชี่ยวชาญด้านไอทีบริการคลาวด์เป็นดาบสองคม อีกด้านหนึ่งบริการคลาวด์สามารถลดค่าใช้จ่ายและเวลาในการปรับใช้บริการซอฟต์แวร์ขั้นสูงได้อย่างมากเนื่องจากตอนนี้ไม่จำเป็นต้องมีการตั้งค่าการกำหนดค่าและการทดสอบที่ยาวนาน เพียงลงทะเบียนสำหรับบัญชีและไป ในทางกลับกันความง่ายในการใช้งานนี้เป็นสิ่งที่ผู้ใช้ได้เรียนรู้และหลายคนกำลังตั้งค่าบัญชีบริการของตัวเองไม่ว่าจะเป็นรายบุคคลหรือเป็นทีม - และพวกเขาใช้พวกเขาเพื่อจัดเก็บและจัดการองค์กรทุกประเภท ข้อมูลที่ไม่มีการกำกับดูแลด้านไอทีจนกระทั่งเกิดข้อผิดพลาด

ไม่ต้องสงสัยเลยว่าคุณกังวลเกี่ยวกับพนักงานของคุณที่ตั้งค่าบริการ "shadow IT" นี้ อีกตัวอย่างที่พบบ่อยคือเราเตอร์ Wi-Fi ราคาถูก ผู้ใช้ซื้อกล่องเหล่านี้จากผู้ขายอย่าง Amazon แล้วนำไปติดตั้งในสำนักงานเพื่อรับส่งข้อมูล Wi-Fi ที่ดีขึ้น แต่ไม่มีการตั้งค่าไฟร์วอลล์ใด ๆ ที่ตามปกติจะยืนยัน อีกตัวอย่างสุดขั้วที่เกิดขึ้นกับฉัน: มีเซิร์ฟเวอร์ใต้โต๊ะของใครบางคนที่กำลังโฮสต์แพลตฟอร์มการพัฒนารหัสต่ำทั้งหมด

Shadow IT หรือระบบเทคโนโลยีสารสนเทศ (IT) ที่พัฒนาขึ้นภายใน บริษัท โดยบุคคลอื่นนอกเหนือจากเจ้าหน้าที่ไอทีอย่างเป็นทางการอาจเป็นปัญหาด้านความปลอดภัยและการป้องกันข้อมูลที่ร้ายแรง อย่างน้อยที่สุดระบบเหล่านี้มีบริการที่ไม่ได้รับการป้องกันโดยมาตรการรักษาความปลอดภัยที่เหลือมีพนักงาน และที่แย่ที่สุดคือพวกมันมอบพื้นผิวการโจมตีเพิ่มเติมและที่ไม่มีการป้องกันซึ่งส่วนใหญ่มักจะแบ็คอัพเข้าสู่เครือข่ายองค์กรของคุณโดยตรง การตอบกลับครั้งแรกของคุณมีแนวโน้มที่จะรูทพนักงานออกลงโทษและทำลายไอทีของพวกเขา

คุณอาจคิดว่าบริการคลาวด์ปลอมแปลงไม่ได้เป็นปัญหารุนแรงเท่าตัวอย่างฮาร์ดแวร์ที่ฉันเพิ่งพูดถึง แต่จริงๆแล้วปัญหานั้นคล้ายกันมาก พนักงานสมมติว่าเธอเป็นนักพัฒนาตัดสินใจซื้ออินสแตนซ์เซิร์ฟเวอร์คลาวด์เสมือนจริงบน Amazon Web Services (AWS) หรือแพลตฟอร์ม Google Cloud อย่างรวดเร็วเพื่อให้เธอสามารถทดสอบโค้ดใหม่ที่เธอใช้อยู่ได้อย่างรวดเร็วโดยไม่ต้องรอคำขอ ผ่านทางไอที ในเวลาไม่กี่นาทีเธอก็ทำงานภาระงานของเธอเอง เธอจ่ายค่าบริการด้วยบัตรเครดิตของเธอโดยคิดว่าเมื่อรหัสอนุมัติแล้วเธอก็สามารถใช้จ่ายได้

คุณอาจไม่ได้ตามล่าผู้ใช้อย่างขยันขันแข็งอย่างที่คุณต้องการใครสักคนกำลังปรับใช้เราเตอร์โกงเนื่องจากมีสองความแตกต่างที่สำคัญระหว่าง AWS และเราเตอร์ส่วนตัว: อันดับแรกเพียงแค่ค้นหาเซิร์ฟเวอร์โกงของนักพัฒนาของเราไม่ใช่เรื่องง่าย ตามที่รายงานโดย บริษัท วิจัยตลาด Statista (ด้านล่าง) การกำกับดูแลและการจัดการหลายคลาวด์เป็นความท้าทายที่ใหญ่ที่สุดที่เผชิญกับผู้เชี่ยวชาญด้านไอทีในยุคคลาวด์ หากไม่ทราบล่วงหน้าเกี่ยวกับบัญชีที่ไม่เป็นมิตรของผู้ใช้คุณจะติดตามได้อย่างไรอย่างรวดเร็วโดยไม่ละเมิดนโยบายความปลอดภัยของคุณเกี่ยวกับความเป็นส่วนตัวและการปกป้องข้อมูล ประการที่สองอเมซอนได้รับการจัดการโดยทีมงานผู้เชี่ยวชาญด้านไอทีซึ่งไม่ได้ทำอะไรทั้งวันยกเว้นการให้บริการทำงานได้อย่างราบรื่นและปลอดภัย ดังนั้นคุณต้องพยายามไล่เซิร์ฟเวอร์ที่จัดการให้หนักแค่ไหน

การจัดการคอมพิวเตอร์บนคลาวด์ท้าทายทั่วโลกในปี 2019

(เครดิตรูปภาพ: Statista)

ความเสี่ยงด้านไอที

ผู้ใช้ที่สร้างบริการคลาวด์ของตัวเองมักไม่ค่อยรู้เรื่องความปลอดภัยของเครือข่ายมากนัก ถ้าพวกเขาทำพวกเขาจะไม่ทำสิ่งที่พวกเขาทำในแบบที่พวกเขาทำ พวกเขารู้ว่าพวกเขาต้องการใช้คุณลักษณะที่สำคัญบางอย่างที่บริการคลาวด์เสนอและพวกเขาอาจรู้วิธีที่จะทำให้การทำงานสามารถแก้ไขปัญหาได้ แต่เมื่อมันมาถึงการกำหนดค่าไฟร์วอลล์พวกเขาไม่มีเงื่อนงำและเนื่องจากบริการที่ทำงานผ่านอินเทอร์เน็ต (ซึ่งจะถูกส่งผ่านไฟร์วอลล์ที่กำหนดค่าไอทีอยู่แล้ว) พวกเขาอาจคิดว่าพวกเขาได้รับการคุ้มครองอย่างเต็มที่ สิ่งที่พวกเขากังวลจริงๆก็คือทำงานของพวกเขาในวิธีที่ดีที่สุดที่พวกเขารู้ว่า - ซึ่งจริง ๆ แล้วเป็นสิ่งที่ดี

ดังนั้นหากการตอบสนองของคุณต่อพนักงานที่มีแรงจูงใจเหล่านี้คือการลงมาที่พวกเขาเช่นอิฐจำนวนหนึ่งลงโทษพวกเขาและปิดก้อนเมฆอันธพาลของพวกเขาแล้วคุณอาจต้องการพิจารณาอีกครั้ง แน่นอนว่าพวกเขาอาจเพิกเฉยต่อกฎที่คุณทำเพื่อควบคุมไอที แต่มีโอกาสที่พวกเขากำลังทำมันด้วยเหตุผลที่ดีหลายประการอย่างน้อยหนึ่งของพวกเขาเป็นคุณ

คุณได้สร้างสภาพแวดล้อมหลังจากทั้งหมดและดูเหมือนว่าเป็นหนึ่งในกลุ่มเมฆอันธพาลที่ถูกมองว่าเป็นวิธีที่ดีกว่าสำหรับคนเหล่านี้ในการทำงานของพวกเขา ซึ่งหมายความว่าในฐานะผู้ให้บริการไอทีภายในคุณไม่ได้ตอบสนองต่อความเร็วที่ธุรกิจต้องการ พนักงานเหล่านี้ต้องการบริการคลาวด์ในวันนี้; พวกเขาจะต้องรอนานแค่ไหนก่อนที่คุณจะช่วยพวกเขา

วิธีการตรวจจับ Rogue IT

จากข้อมูลของ Pablo Villarreal ประธานเจ้าหน้าที่รักษาความปลอดภัย (CSO) ของ Globant บริษัท ที่ช่วยในการแปลงรูปแบบดิจิทัลการค้นหาบริการคลาวด์ปลอมไม่จำเป็นต้องชัดเจน หากคลาวด์ปลอมใช้ผู้ให้บริการรายเดียวกับที่เหลือใน บริษัท ของคุณอาจเป็นไปไม่ได้เลยที่จะบอกความแตกต่างระหว่างทราฟฟิกกับคลาวด์โกงและการรับส่งข้อมูลคลาวด์ปกติ ในกรณีของเซิร์ฟเวอร์ของผู้พัฒนาดังกล่าวถ้า บริษัท มีเซิร์ฟเวอร์อเมซอนที่ทำเวอร์ช่วลไลเซชันแล้วไม่กี่โหลที่ทำภาระงานอื่น ๆ มันจะง่ายแค่ไหนที่จะแยกแยะเซิร์ฟเวอร์โกงของเธอคนเดียวจากการวิเคราะห์ปริมาณการใช้งาน ในขณะที่ไฟร์วอลล์รุ่นต่อไปที่กำหนดค่าไว้อย่างเหมาะสมและซอฟต์แวร์ที่เหมาะสมสามารถทำได้ แต่งานที่ต้องทำมีความสำคัญ

บียาร์เรอัลกล่าวว่าวิธีที่มีประสิทธิภาพมากที่สุดคือการดูใบแจ้งยอดบัตรเครดิตเมื่อพนักงานส่งค่าใช้จ่ายและหาแบบนั้น โซลูชันการติดตามค่าใช้จ่ายขั้นสูงสามารถกำหนดค่าจริง ๆ ให้กับประเภทค่าใช้จ่ายที่เฉพาะเจาะจงดังนั้นการค้นหาโซลูชันเหล่านั้นอาจเป็นแบบอัตโนมัติค่อนข้างน้อย แต่เขายังบอกด้วยว่าขั้นตอนต่อไปของคุณมีความสำคัญและนั่นก็คือการเอื้อมมือออกไปหาพนักงาน

“ เสนอเพื่อให้บริการที่พวกเขาต้องการ” เขากล่าว "เมื่อคุณยอมรับบริการโกงคุณสามารถสร้างความสัมพันธ์กับผู้ใช้ได้"

เขากล่าวว่าโดยการโอบกอดคลาวด์ปลอมคุณสามารถนำมาไว้ในความปลอดภัยของคุณเองและคุณสามารถช่วยผู้ใช้ให้มั่นใจว่าพวกเขาสามารถใช้งานอินสแตนซ์คลาวด์ของพวกเขาได้อย่างมีประสิทธิภาพ นอกจากนี้หากคุณใช้บริการคลาวด์อยู่แล้วคุณอาจได้รับบริการเดียวกันในราคาลดมาก

6 ขั้นตอนในการยอมรับ Rogue IT

แต่จำไว้ว่าทุกบริการโกงที่คุณพบไม่ว่าจะเป็นใน AWS หรือเป็นสิ่งที่มีอยู่ในตัวเองมากขึ้นเช่น Dropbox Business มันเป็นอาการของความต้องการที่ไม่คาดคิด พนักงานต้องการบริการและคุณไม่สามารถให้บริการได้เมื่อต้องการหรือไม่ทราบว่าคุณสามารถทำได้ ไม่ว่าจะด้วยสาเหตุใดสาเหตุนั้นขึ้นอยู่กับไอที แต่อย่างมีความสุขปัญหาเหล่านี้ค่อนข้างง่ายที่จะแก้ไข ต่อไปนี้เป็นขั้นตอนหกขั้นตอนที่คุณควรทำ:

ทำความรู้จักกับบุคคลและค้นหาสาเหตุที่เขาหรือเธอเลือกที่จะสร้างบริการแทนการใช้แผนก IT มีโอกาสเกิดขึ้นที่ฝ่ายไอทีใช้เวลาในการตอบสนองนานเกินไป แต่อาจเป็นเหตุผลอื่นรวมถึงการห้ามที่อาจส่งผลให้พวกเขาไม่ตอบสนองความต้องการทางธุรกิจ

ค้นหาข้อมูลเพิ่มเติมเกี่ยวกับบริการคลาวด์ปลอมที่พวกเขาใช้อยู่สิ่งที่พวกเขาทำกับมันจริง ๆ และสิ่งที่พวกเขาทำเพื่อปกป้องมัน คุณต้องทำให้แน่ใจว่ามันปลอดภัยในขณะที่คุณกำลังนำมันเข้าไปข้างใน

ดูขั้นตอนของคุณเอง ทีมใช้เวลานานแค่ไหนในการร้องขอการเข้าถึงบริการคลาวด์ของคุณ กระบวนการอนุมัตินั้นเกี่ยวข้องกันอย่างไร คุณยินดีให้ความช่วยเหลือคุณมากแค่ไหน มันยากแค่ไหนที่จะทำให้บางสิ่งง่าย ๆ เช่นที่อยู่ IP การรวมอยู่ในแผนการสำรองข้อมูลของ บริษัท เป็นเรื่องยากเพียงใด

แผนกไอทีของคุณทำอะไรได้บ้างเพื่อสร้างบัญชีคลาวด์ที่ไม่จำเป็นขึ้นมา ตัวอย่างเช่นคุณสามารถให้วิธีการสร้างบัญชีกับผู้ให้บริการที่ได้รับอนุมัติอย่างรวดเร็วและง่ายดาย คุณสามารถระบุบัญชีคลาวด์ขององค์กรที่พนักงานสามารถใช้งานได้โดยมีความล่าช้าน้อยที่สุดหรือไม่? คุณสามารถให้พนักงานทำงานเป็นที่ปรึกษาได้เนื่องจากไม่มีแผนกไอทีของพนักงานที่มีพนักงานพิเศษหรือไม่?

แผนกของคุณทำอะไรได้บ้างเพื่อส่งเสริมนวัตกรรมในแผนกที่ไม่ใช่ด้านไอที คุณสามารถเสนอเมนูบริการด้านไอทีที่มีให้ตามคำขอหรือไม่? อาจเป็นบริการตอบโต้ที่รวดเร็วสำหรับทีมที่กำลังทำสิ่งใหม่ ๆ แต่ใครต้องการความช่วยเหลือเช่นการรวมการเรียนรู้ของเครื่อง (ML) เข้ากับส่วนหนึ่งของธุรกิจของพวกเขา โปรดจำไว้ว่าหากคุณไม่สามารถช่วยได้หรือไม่ได้ทีมที่มีแรงจูงใจสูงก็จะเดินหน้าต่อไปหากไม่มีคุณและนั่นคือสิ่งที่คุณพยายามป้องกัน

ที่สำคัญที่สุดใช้ประสบการณ์เพื่อวัดและปรับปรุงสิ่งที่พนักงานไอทีของคุณกำลังทำเพื่อตอบสนองต่อความเร็วของธุรกิจ

• ซอฟต์แวร์ป้องกันและอุปกรณ์รักษาความปลอดภัยปลายทางที่ดีที่สุดสำหรับปี 2562 ซอฟต์แวร์ป้องกันและอุปกรณ์รักษาความปลอดภัยปลายทางที่ดีที่สุดสำหรับปี 2562
• โซลูชั่นโครงสร้างพื้นฐานที่ดีที่สุดสำหรับบริการ 2019 โซลูชั่นโครงสร้างพื้นฐานที่ดีที่สุดสำหรับบริการ 2019
• โซลูชั่นการจัดการอุปกรณ์มือถือที่ดีที่สุด (MDM) สำหรับปี 2562 โซลูชั่นการจัดการอุปกรณ์มือถือที่ดีที่สุด (MDM) สำหรับปี 2562

ฉันรู้ว่า ณ จุดนี้คุณอาจจะโง่ไปหมดทั้งหมดนี้โดยอ้างว่าคุณไม่มีทรัพยากร แต่ความจริงก็คือถ้าพนักงานของคุณทำงานได้ดีด้วยตนเองคุณไม่จำเป็นต้องใช้ทรัพยากรเพิ่มเติมมากนัก และหากคุณพยายามป้องกันกิจกรรมประเภทนี้ด้วยกำปั้นเหล็กที่เป็นสุภาษิตกิจกรรมน่าจะดำเนินต่อไปเบื้องหลังและคุณเสี่ยงต่อการเกิดเหตุการณ์ความปลอดภัยหรือความล้มเหลวทางธุรกิจที่ต้องใช้ทรัพยากรมากกว่าคุณ จะมี

แม้แต่ผู้ให้บริการเมกะเช่น Amazon และ Google ก็ถูกแฮ็ก หากคุณมีข้อมูล บริษัท รีมบนบริการเหล่านี้ที่ไม่ได้รับการปกป้องในลักษณะเดียวกับร้านค้าอย่างเป็นทางการของคุณคุณอาจมีปัญหาที่น่ารังเกียจและไม่รู้ตัวจนกว่าจะสายเกินไป แน่นอนว่าคุณสามารถชี้นิ้วไปที่ผู้ใช้ที่ลงทะเบียนโดยไม่ได้รับอนุญาต แต่นั่นจะไม่ทำให้หัวหน้าฝ่ายความปลอดภัยของข้อมูล (CISO) ที่ต้องการทราบว่าทำไม IT ไม่สามารถคิดเป็นสัดส่วน X ของเซิร์ฟเวอร์เสมือนของ บริษัท ได้ และจะไม่ช่วยลูกค้าของคุณ (ซึ่งมักจะเป็นเหยื่อที่ไม่รู้ตัว) เพราะเป็นข้อมูลส่วนบุคคลของพวกเขาที่ถูกเปิดเผย

“ พนักงานจะมีความสุขมากขึ้น” วิลลาเรียลกล่าวขณะเดียวกันก็สังเกตเห็นว่าการลงโทษพนักงานด้วยแรงจูงใจของพวกเขาทำให้พวกเขาไม่ได้รับแรงจูงใจอีกต่อไป ไม่มีใครจะขอบคุณสำหรับสิ่งนั้น การโอบกอดบริการโกงคุณไม่เพียง แต่ทำให้ผู้ใช้มีความสุขและทำให้พวกเขามีแรงบันดาลใจคุณยังสร้างช่องทางการสื่อสารตามความไว้วางใจ หากพวกเขาเชื่อใจคุณไม่มีเหตุผลที่จะสมัครใช้บริการบนเจ้าเล่ห์ พวกเขาจะแจ้งให้คุณทราบเมื่อพวกเขาทำเพราะคุณรู้ว่าดีสำหรับคุณทั้งคู่