不正なクラウドアカウントを殺さないで、それらを受け入れる

ITプロフェッショナルの観点からは、クラウドサービスは両刃の剣です。一方では、クラウドサービスは、高度なソフトウェアサービスでさえ、長いセットアップ、構成、テスト時間や高価なサーバーハードウェアを必要としないため、コストと実装時間を大幅に削減できます。アカウントにサインアップして行きます。一方、この実装の容易さはユーザーも学んだことであり、多くのユーザーは個人またはチームとして独自のサービスアカウントを設定しており、それらを使用してあらゆる種類の企業を保存および操作しています。何かがうまくいかないまで、ITガバナンスのないデータ。



ITウォッチバグアート従業員がこの種の「シャドーIT」サービスを設定することを心配していることは間違いありません。別の一般的な例は安いです Wi-Fiルーター 。ユーザーはこれらのボックスをAmazonなどのベンダーから購入し、オフィスに展開してWi-Fiスループットを向上させますが、IT部門が通常要求するファイアウォール設定はありません。私に起こったより極端な例:誰かの机の下に、ローコード開発プラットフォーム全体をホストしているサーバーがあります。

シャドーIT、または公式のITスタッフ以外の個人によって企業内で開発された情報技術(IT)システムは、セキュリティとデータ保護の深刻な問題になる可能性があります。少なくとも、これらのシステムには、ITが採用している他のセキュリティ対策では保護されていないサービスが含まれています。そして最悪の場合、それらは追加の、ほとんど保護されていない攻撃対象領域を提供し、多くの場合、企業ネットワークに直接バックドアします。あなたの最初の対応は、これらの従業員を根絶し、罰し、シャドーITを破壊する可能性があります。





不正なクラウドサービスは、先ほど述べたハードウェアの例ほど深刻な問題ではないと思われるかもしれませんが、実際には問題は非常に似ています。開発者である従業員は、Amazon Web Services(Amazonで$ 6,415.00)(AWS)またはGoogle Cloud Platformで仮想化されたクラウドサーバーインスタンスをすばやく購入することを決定しました。これにより、彼女は待つことなく、遅れている新しいコードをすばやくテストできます。 ITを通過するためのリクエスト。数分で、彼女は自分のワークロードを実行しています。彼女はクレジットカードでサービスの料金を支払い、コードが承認されると、単に費用をかけることができると考えています。

AWSとパーソナルルーターには2つの重要な違いがあるため、不正なルーターを導入する場合ほど熱心にそのようなユーザーを探すことはできません。まず、開発者の不正なサーバーを見つけるのは簡単ではありません。市場調査会社によって報告されたように Statista (下記)、ガバナンスとマルチクラウド管理は、クラウド時代のITプロフェッショナルが直面する最大の課題の2つです。このユーザーの非公式アカウントについての事前の知識がない場合、プライバシーとデータ保護に関する独自のセキュリティポリシーに違反することなく、どのようにしてアカウントを迅速に追跡しますか?第二に、Amazonは、サービスをスムーズかつ安全に実行し続けることを除いて、一日中何もしない専門のITスタッフの軍隊によって管理されています。では、彼らが管理しているサーバーを本当に追いかける必要があるのはどれくらいですか?



メカニカルキーボード付きゲーミングノートパソコン
2019年の世界的なクラウドコンピューティング管理の課題
2019年のクラウドコンピューティング管理の世界的な課題

(画像クレジット: Statista )。

不正なITリスク

独自のクラウドサービスを作成するユーザーは、通常、ネットワークセキュリティについてあまり知りません。もしそうなら、彼らは彼らがしているように彼らがしていることをしていなかっただろう。彼らは、クラウドサービスが提供するいくつかの重要な機能を使用したいと考えており、問題を解決するためにそれを機能させる方法をおそらく知っています。しかし、ファイアウォールの構成に関しては、彼らには手がかりがなく、サービスはインターネット(とにかくIT構成のファイアウォールを介して配信されている)上で実行されているため、おそらく完全に保護されていると考えています。彼らが本当に心配しているのは、彼らが知っている最善の方法で仕事をすることだけです。これは実際には良いことです。

したがって、これらのやる気のある従業員へのあなたの応答が、1トンのレンガのように彼らに降りてきて、彼らを罰し、彼らの不正な雲をシャットダウンすることである場合、あなたは再考したいかもしれません。確かに、ITの管理を維持するために作成したルールを無視している可能性があります。しかし、チャンスは、彼らがいくつかの正当な理由でそれをしているということです、それらのうちの少なくとも1つはあなたです。

結局のところ、あなたは環境を作成しました、そしてそれは不正なクラウドがこれらの人々が彼らの仕事をするためのより良い方法として見られたもののようです。つまり、社内のITサービスプロバイダーとして、ビジネスが必要とする速度で対応していないということです。これらの従業員は、今日そのクラウドサービスを必要としていました。あなたが彼らを助ける前に彼らはどれくらい待つ必要があったでしょうか?

ネットワークトラフィックの詳細の監視

不正なITを検出する方法

の最高セキュリティ責任者(CSO)であるPablo Villarrealによると、 グロバント 、デジタルトランスフォーメーションを支援する会社であり、不正なクラウドサービスを見つけることは必ずしも明白ではありません。不正なクラウドが他の会社と同じプロバイダーを使用している場合、不正なクラウドへのトラフィックと通常のクラウドトラフィックの違いを区別することはほぼ不可能です。前述の開発者のサーバーの場合、他のワークロードを実行する仮想化されたAmazonサーバーがすでに数十台ある場合、トラフィック分析のみに基づいて1台の不正なサーバーを区別するのは簡単でしょうか。適切に構成された次世代ファイアウォールと適切なソフトウェアでそれを実行できますが、そのために必要な作業は重要です。

ビジャレアルは、従業員が経費を提出するときにクレジットカードの明細書を見て、その方法で見つけることが最も効果的な方法であると述べました。ハイエンドの経費追跡ソリューションは、実際には特定の経費タイプにフラグを立てるように構成できるため、それらの検索は少なくともある程度自動化できます。しかし、彼はまた、あなたの次のステップが重要であり、それは従業員に一生懸命に取り組むのではなく、従業員に手を差し伸べることであるとも言います。

「彼らが必要とするサービスを提供することを申し出る」と彼は言った。 「不正なサービスを採用すると、ユーザーとの関係を構築できます。」

彼は、不正なクラウドを採用することで、それを独自のセキュリティに組み込むことができ、ユーザーがクラウドインスタンスを効率的に運用できるようにすることができると述べました。さらに、すでにクラウドサービスを使用している場合は、おそらく大幅な割引で同じサービスを利用できます。

ネットワーク容量計画

不正なITを採用するための6つのステップ

ただし、AWS上にあるか、Dropbox Business(Amazonで$ 6,415.00)のように自己完結型のものであるかにかかわらず、見つけたすべての不正なサービスは、満たされていないニーズの兆候であることを忘れないでください。従業員はサービスを必要としていました、そして彼らがそれを必要とするときにあなたがそれを提供することができなかったか、彼らはあなたができることを知りませんでした。いずれにせよ、根本的な原因はITにありますが、幸いなことに、これらの問題は比較的簡単に修正できます。最初に実行する必要がある6つの手順は次のとおりです。

  • その人のことを知り、その人がIT部門を使用する代わりにサービスを作成することを選択した理由を調べてください。 ITが対応するのに時間がかかりすぎる可能性がありますが、ビジネスニーズを満たさなくなる可能性のある禁止など、他の理由も考えられます。

  • 彼らが使用している不正なクラウドサービス、実際にそれを使って何をしているのか、そしてそれを保護するために彼らが何をしたのかについてもっと知りましょう。あなたがそれを中に持ち込む過程にある間、あなたはそれが安全であることを確認する必要があります。

  • あなた自身の手順を見てください。チームがクラウドサービスへのアクセスをリクエストするのにどのくらい時間がかかりますか?承認プロセスはどの程度関与していますか?どのくらいの助けを提供しても構わないと思いますか? IPアドレスなどの単純なものを取得するのはどれくらい難しいですか?企業のバックアップ計画に含めるのはどのくらい難しいですか?

  • 不正なクラウドアカウントを不要にするために、IT部門は何ができるでしょうか。たとえば、承認されたプロバイダーでアカウントをすばやく簡単に作成する手段を提供できますか?従業員が最小限の遅延で使用できる企業クラウドアカウントを提供できますか?誰のIT部門にも追加のスタッフがいないので、コンサルタントとして働くスタッフを提供できますか?

    msi r9280xゲーミング3g
  • IT部門以外の部門でイノベーションを促進するために、あなたの部門は何ができるでしょうか。リクエストに応じて利用できるITサービスのメニューを提供できますか?おそらく、本当に革新的なことをしているが、機械学習(ML)をビジネスの一部に組み込むなどの支援が必要なチームのための、迅速な対応サービスですか?あなたが助けられない、または助けられない場合、意欲的なチームはあなたなしで前進することを忘れないでください、そしてそれはあなたが防ごうとしていることです。

  • 最も重要なのは、経験を利用して、ITスタッフがビジネスのスピードに対応するために行っていることを測定および改善することです。

私はこの時点で、あなたはあなたが資源を持っていないと主張して、これらすべてをうんざりさせているかもしれないことを知っています。しかし、実際には、従業員が自分で良い仕事をしている場合は、追加のリソースをあまり必要としません。そして、この種の活動をことわざの鉄拳で防ごうとすると、その活動は舞台裏で継続する可能性が高くなります。セキュリティインシデントやビジネスの失敗が発生し、自分よりもはるかに多くのリソースが必要になるという非常に現実的なリスクがあります。 'これまでにあります。

アマゾンやグーグルなどのメガプロバイダーでさえハッキングされます。公式ストアと同じように保護されていないこれらのサービスに関する大量の企業データがある場合、手遅れになるまで簡単に厄介な問題が発生し、完全に気付かない可能性があります。もちろん、許可なくサインアップしたユーザーに指を向けることはできますが、ITが会社の仮想サーバーのX%を占めることができなかった理由を知りたがっている怒っている最高情報セキュリティ責任者(CISO)を満足させることはできません。そして、それはあなたの顧客(しばしば無意識の犠牲者である)を助けるつもりはありません。なぜなら、それは最終的に公開されるのは彼らの個人データだからです。

ビジャレアルは、「従業員は[あなたが彼らを助ければ]幸せになるだろう」と指摘し、同時に、従業員のやる気を罰することは、一般的に彼らのやる気を失わせる結果になると指摘した。誰もあなたに感謝するつもりはありません。不正なサービスを採用することで、ユーザーを満足させ、やる気を維持するだけでなく、信頼に基づくコミュニケーションチャネルを確立することができます。彼らがあなたを信頼しているなら、ずる賢いサービスにサインアップする理由はありません。あなたが知っているのはあなたの両方にとってより良いので、彼らは彼らがそれをするときに単にあなたに知らせるでしょう。

推奨されます