Tabla de contenido:
Video: WOW - ФАРМ 30000+ ЗОЛОТА В ЧАС СОЛО ГОЛДФАРМ! (Noviembre 2024)
Desde la perspectiva de un profesional de TI, los servicios en la nube son un arma de doble filo. Por un lado, los servicios en la nube pueden reducir drásticamente el costo y el tiempo de implementación de servicios de software incluso avanzados, ya que estos ahora no requieren largos tiempos de instalación, configuración y pruebas ni mucho hardware costoso para el servidor. Simplemente regístrese para obtener una cuenta y listo. Por otro lado, esta facilidad de implementación es algo que los usuarios también han aprendido, y muchos de ellos están configurando sus propias cuentas de servicio, ya sea como individuos o como equipos, y los están utilizando para almacenar y manipular todo tipo de empresas. datos sin gobierno de TI, hasta que algo salga mal.
Shadow IT, o sistemas de tecnología de la información (IT) desarrollados dentro de una empresa por personas que no sean personal de TI oficial, puede ser un problema grave de seguridad y protección de datos. Como mínimo, estos sistemas contienen servicios que no están protegidos por el resto de las medidas de seguridad que emplea TI. Y, en el peor de los casos, proporcionan una superficie de ataque adicional y en gran medida desprotegida que a menudo se conecta directamente a su red corporativa. Es probable que su primera respuesta elimine a estos empleados, los castigue y destruya su sombra de TI.
Puede pensar que los servicios en la nube no son un problema tan grave como los ejemplos de hardware que acabo de mencionar, pero en realidad los problemas son muy similares. Un empleado, digamos que es un desarrollador, decide comprar rápidamente una instancia de servidor virtualizado en la nube en Amazon Web Services (AWS) o Google Cloud Platform para poder probar rápidamente algún código nuevo en el que está atrasado, sin tener que esperar una solicitud para ir a traves de. En unos minutos, ella está ejecutando su propia carga de trabajo. Ella paga el servicio con su tarjeta de crédito, pensando que una vez que se aprueba el código, simplemente puede gastarlo.
Es posible que no busque a un usuario tan diligente como lo haría con alguien que implementa un enrutador falso porque hay dos diferencias clave entre AWS y un enrutador personal: Primero, simplemente no es fácil encontrar el servidor falso de nuestro desarrollador. Según lo informado por la firma de investigación de mercado Statista (abajo), la gobernanza y la gestión de múltiples nubes son dos de los mayores desafíos que enfrentan los profesionales de TI en la era de la nube. Sin el conocimiento previo de la cuenta no oficial de este usuario, ¿cómo puede rastrearla rápidamente sin violar sus propias políticas de seguridad con respecto a la privacidad y la protección de datos? En segundo lugar, Amazon es administrado por un ejército de personal de TI experto que no hace nada durante todo el día excepto mantener el servicio funcionando sin problemas y de forma segura. Entonces, ¿qué tan difícil es realmente estar persiguiendo un servidor que están administrando?
Desafíos de la gestión de la computación en la nube en todo el mundo en 2019
(Crédito de la imagen: Statista)
Rogue IT Risks
Los usuarios que crean sus propios servicios en la nube generalmente no saben mucho acerca de la seguridad de la red; si lo hicieran, no estarían haciendo lo que están haciendo como lo están haciendo. Saben que quieren usar alguna característica importante que ofrece el servicio en la nube y probablemente saben cómo hacer que funcione para resolver un problema. Pero cuando se trata de configurar un firewall, no tienen idea, y dado que el servicio se está ejecutando a través de Internet (que se entrega a través de un firewall configurado de TI de todos modos), probablemente creen que están completamente protegidos. Todo lo que realmente les preocupa es hacer su trabajo de la mejor manera que saben, lo que en realidad es algo bueno.
Entonces, si su respuesta a estos empleados motivados es caer sobre ellos como una tonelada de ladrillos, castigarlos y cerrar su nube rebelde, entonces es posible que desee reconsiderarlo. Claro, tal vez ignoran las reglas que usted hizo para mantener el control de TI. Pero, lo más probable es que lo estén haciendo por varias buenas razones, al menos una de ellas sea usted.
Después de todo, ha creado el entorno, y parece ser uno en el que una nube maliciosa fue vista como la mejor manera para que estas personas hagan su trabajo. Esto significa que, como proveedor interno de servicios de TI, no está respondiendo a la velocidad que requiere la empresa. Estos empleados necesitaban ese servicio en la nube hoy; ¿Cuánto tiempo habrían necesitado esperar antes de que los ayudaras?
Cómo detectar TI rebelde
Según Pablo Villarreal, Director de Seguridad (CSO) de Globant, una compañía que ayuda en la transformación digital, encontrar servicios en la nube no es necesariamente obvio. Si la nube falsa está utilizando el mismo proveedor que el resto de su empresa, entonces puede ser casi imposible distinguir la diferencia entre el tráfico a la nube falsa y al tráfico normal de la nube. En el caso de nuestro servidor de desarrolladores mencionado anteriormente, si la compañía ya tuviera unas pocas docenas de servidores virtualizados de Amazon haciendo otras cargas de trabajo, ¿qué tan fácil sería distinguir su único servidor falso basado únicamente en análisis de tráfico? Si bien un firewall de próxima generación configurado adecuadamente y el software adecuado pueden hacerlo, el trabajo requerido para hacerlo es significativo.
Villarreal dijo que la forma más efectiva es mirar los extractos de la tarjeta de crédito cuando los empleados envían gastos y los encuentran de esa manera. Las soluciones de seguimiento de gastos de alto nivel en realidad se pueden configurar para marcar tipos de gastos específicos, por lo que encontrarlas puede ser al menos algo automatizado. Pero también dice que su próximo paso es crítico, y que es llegar a los empleados en lugar de criticarlos.
"Ofrezca proporcionar los servicios que necesitan", dijo. "Una vez que aceptas los servicios corruptos, puedes construir relaciones con los usuarios".
Dijo que al abrazar la nube no autorizada, puede llevarla dentro de su propia seguridad, y puede ayudar a los usuarios a asegurarse de que puedan operar su instancia de nube de manera eficiente. Además, si ya está utilizando servicios en la nube, probablemente pueda obtener el mismo servicio con un descuento significativo.
6 pasos para adoptar Rogue IT
Pero recuerde, cada servicio fraudulento que encuentre, ya sea en AWS o en algo más autónomo, como Dropbox Business, es un síntoma de una necesidad insatisfecha. Los empleados necesitaban un servicio y usted no podía proporcionarlo cuando lo necesitaba o no sabían que usted podía hacerlo. De cualquier manera, la causa raíz radica en TI pero, felizmente, estos problemas son relativamente fáciles de solucionar. Aquí hay seis pasos que debe seguir desde el principio:
Conozca a la persona y descubra por qué eligió crear el servicio en lugar de utilizar el departamento de TI. Lo más probable es que TI demore demasiado en responder, pero podría ser por otras razones, incluida una prohibición que podría resultar en que no satisfagan sus necesidades comerciales.
Obtenga más información sobre el servicio en la nube falso que están utilizando, lo que realmente están haciendo con él y lo que han hecho para protegerlo. Debes asegurarte de que sea seguro mientras estás en el proceso de llevarlo adentro.
Mira tus propios procedimientos. ¿Cuánto tiempo le toma a un equipo solicitar acceso a sus servicios en la nube? ¿Qué tan involucrado es el proceso de aprobación? ¿Cuánta ayuda estás dispuesto a brindar? ¿Qué tan difícil es obtener algo simple, como una dirección IP? ¿Qué tan difícil es ser incluido en el plan de respaldo corporativo?
¿Qué puede hacer su departamento de TI para que las cuentas en la nube no sean necesarias? Por ejemplo, ¿puede proporcionar un medio para crear cuentas en proveedores aprobados rápida y fácilmente? ¿Puede proporcionar una cuenta en la nube corporativa que los empleados puedan usar con un retraso mínimo? ¿Puede proporcionar personal para trabajar como consultores ya que el departamento de TI de nadie tiene personal adicional?
¿Qué puede hacer su departamento para fomentar la innovación en departamentos que no son de TI? ¿Puede proporcionar un menú de servicios de TI que estén disponibles a pedido? ¿Quizás un servicio de reacción rápida para equipos que están haciendo algo realmente innovador pero que necesitan ayuda, como incorporar el aprendizaje automático (ML) en una parte de su negocio? Recuerde, si no puede o no quiere ayudar, entonces un equipo altamente motivado seguirá adelante sin usted y eso es lo que está tratando de evitar.
Lo más importante es utilizar la experiencia para medir y mejorar lo que hace su personal de TI para reaccionar a la velocidad de los negocios.
- El mejor software de protección y seguridad de punto final alojado para 2019 El mejor software de protección y seguridad de punto final alojado para 2019
- Las mejores soluciones de infraestructura como servicio para 2019 Las mejores soluciones de infraestructura como servicio para 2019
- Las mejores soluciones de administración de dispositivos móviles (MDM) para 2019 Las mejores soluciones de administración de dispositivos móviles (MDM) para 2019
Sé que en este punto, podrías estar haciendo pooh-poo todo esto, alegando que no tienes los recursos. Pero el hecho es que si sus empleados están haciendo un buen trabajo ellos mismos, entonces no necesita muchos recursos adicionales. Y si intenta evitar este tipo de actividad con el proverbial puño de hierro, entonces la actividad probablemente continuará detrás de escena y corre el riesgo muy real de tener un incidente de seguridad o una falla comercial que requerirá muchos más recursos que usted. alguna vez lo tendré.
Incluso los megaproveedores como Amazon y Google son pirateados. Si tiene una gran cantidad de datos corporativos sobre estos servicios que no están protegidos de la misma manera que lo están sus tiendas oficiales, entonces podría tener un problema desagradable y desconocerlo por completo hasta que sea demasiado tarde. Claro, puede señalar con el dedo al usuario que se registró sin permiso, pero eso no va a satisfacer a un Jefe de Seguridad de la Información (CISO) enojado que quiere saber por qué TI no pudo representar el X por ciento de los servidores virtuales de la compañía. Y no va a ayudar a sus clientes (que a menudo son víctimas involuntarias) porque son sus datos personales los que terminan siendo expuestos.
"Los empleados serán más felices", señaló Villarreal, al tiempo que señaló que castigar a los empleados por su motivación generalmente hace que ya no estén motivados. Nadie te lo agradecerá. Al adoptar el servicio falso, no solo hace felices a los usuarios y los mantiene motivados, sino que también establece un canal de comunicación basado en la confianza. Si confían en usted, no hay razón para inscribirse en los servicios de manera encubierta. Simplemente le informarán mientras lo hacen, ya que saben que es mejor para ambos.
