Inhaltsverzeichnis:
Video: СЛИВ ПРОГРАММЫ ДЛЯ ВЗЛОМА СЕРВЕРА МАЙНКРАФТ - РАБОТАЕТ НА ЛЮБОЙ ВЕРСИИ MINECRAFT БЕСПЛАТНО! (November 2024)
Cloud Services sind aus Sicht eines IT-Profis ein zweischneidiges Schwert. Auf der einen Seite können Cloud-Dienste die Kosten und die Implementierungszeit selbst von fortgeschrittenen Softwarediensten drastisch senken, da diese jetzt weder langwierige Einrichtungs-, Konfigurations- und Testzeiten noch viele teure Serverhardware erfordern. Eröffnen Sie einfach ein Konto und gehen Sie. Andererseits haben Benutzer auch gelernt, wie einfach die Implementierung ist, und viele von ihnen richten ihre eigenen Dienstkonten ein, entweder als Einzelpersonen oder als Teams - und sie verwenden sie, um alle Arten von Unternehmen zu speichern und zu manipulieren Daten ohne IT-Governance, bis etwas schief geht.
Shadow-IT oder IT-Systeme (Informationstechnologie), die in einem Unternehmen nicht von offiziellen IT-Mitarbeitern entwickelt wurden, können ein ernstes Sicherheits- und Datenschutzproblem darstellen. Zumindest enthalten diese Systeme Dienste, die nicht durch die restlichen Sicherheitsmaßnahmen der IT geschützt sind. Und im schlimmsten Fall bieten sie eine zusätzliche und weitgehend ungeschützte Angriffsfläche, die sich häufig direkt in Ihr Unternehmensnetzwerk einfügt. Ihre erste Reaktion wird diese Mitarbeiter wahrscheinlich ausrotten, bestrafen und ihre Schatten-IT zerstören.
Sie könnten denken, dass betrügerische Cloud-Dienste kein so schwerwiegendes Problem darstellen wie die eben erwähnten Hardwarebeispiele, aber tatsächlich sind die Probleme sehr ähnlich. Angenommen, eine Mitarbeiterin ist Entwicklerin. Sie beschließt, schnell eine virtualisierte Cloud-Server-Instanz in Amazon Web Services (AWS) oder Google Cloud Platform zu erwerben, um schnell neuen Code zu testen, auf dem sie sich befindet, ohne auf die Anforderung warten zu müssen durch. In ein paar Minuten erledigt sie ihre eigene Arbeit. Sie bezahlt den Service mit ihrer Kreditkarte und geht davon aus, dass sie ihn einfach bezahlen kann, sobald der Code genehmigt ist.
Möglicherweise jagen Sie einen solchen Benutzer nicht so gewissenhaft wie jemanden, der einen Rogue-Router bereitstellt, da es zwei wesentliche Unterschiede zwischen AWS und einem persönlichen Router gibt: Erstens ist es nicht einfach, den Rogue-Server unseres Entwicklers zu finden. Laut dem Marktforschungsunternehmen Statista (unten) sind Governance und Multi-Cloud-Management zwei der größten Herausforderungen, denen sich IT-Experten im Cloud-Zeitalter gegenübersehen. Wie können Sie ohne vorherige Kenntnis des inoffiziellen Kontos dieses Benutzers schnell aufspüren, ohne auch Ihre eigenen Sicherheitsrichtlinien in Bezug auf Datenschutz und Datenschutz zu verletzen? Zweitens wird Amazon von einer Armee erfahrener IT-Mitarbeiter verwaltet, die den ganzen Tag nichts anderes tun, als den Dienst reibungslos und sicher laufen zu lassen. Wie stark müssen Sie wirklich einen Server verfolgen, den sie verwalten?
Herausforderungen für das Cloud-Computing-Management im Jahr 2019 weltweit
Rogue IT-Risiken
Benutzer, die ihre eigenen Cloud-Dienste erstellen, wissen in der Regel nicht viel über die Netzwerksicherheit. Wenn sie das taten, würden sie nicht tun, was sie tun, wie sie es tun. Sie wissen, dass sie eine wichtige Funktion nutzen möchten, die der Cloud-Service bietet, und sie wissen wahrscheinlich, wie sie zur Lösung eines Problems eingesetzt werden kann. Wenn es jedoch um die Konfiguration einer Firewall geht, haben sie keine Ahnung, und da der Dienst über das Internet ausgeführt wird (das ohnehin über eine von der IT konfigurierte Firewall bereitgestellt wird), sind sie wahrscheinlich vollständig geschützt. Alles, worüber sie sich wirklich Sorgen machen, ist, ihre Arbeit so gut zu machen, wie sie es können - was eigentlich eine gute Sache ist.
Wenn Ihre Antwort auf diese motivierten Mitarbeiter darin besteht, wie eine Tonne Steine auf sie zu fallen, sie zu bestrafen und ihre Schurkenwolke herunterzufahren, sollten Sie es sich vielleicht noch einmal überlegen. Sicher, vielleicht ignorieren sie die Regeln, die Sie aufgestellt haben, um die Kontrolle über die IT zu behalten. Aber die Chancen stehen gut, dass sie es aus mehreren guten Gründen tun, zumindest aus Ihrer Sicht.
Sie haben die Umgebung doch geschaffen, und es scheint eine zu sein, in der eine Schurkenwolke als die bessere Möglichkeit für diese Leute angesehen wurde, ihre Arbeit zu erledigen. Dies bedeutet, dass Sie als interner IT-Dienstleister nicht in der Geschwindigkeit reagieren, die das Unternehmen erfordert. Diese Mitarbeiter benötigten heute diesen Cloud-Service. Wie lange hätten sie warten müssen, bis Sie ihnen geholfen haben?
Wie erkennt man Rogue IT?
Laut Pablo Villarreal, Chief Security Officer (CSO) von Globant, einem Unternehmen, das bei der digitalen Transformation hilft, ist es nicht unbedingt naheliegend, nach falschen Cloud-Diensten zu suchen. Wenn die betrügerische Wolke denselben Anbieter verwendet wie der Rest Ihres Unternehmens, kann es fast unmöglich sein, den Unterschied zwischen dem Verkehr zur betrügerischen Wolke und Ihrem normalen Wolkenverkehr zu erkennen. Wenn das Unternehmen im Falle des oben genannten Entwicklerservers bereits einige Dutzend virtualisierte Amazon-Server für andere Workloads hatte, wie einfach wäre es, ihren einen betrügerischen Server allein anhand der Verkehrsanalyse zu unterscheiden? Eine ordnungsgemäß konfigurierte Firewall der nächsten Generation und die entsprechende Software können dies, die dafür erforderliche Arbeit ist jedoch erheblich.
Laut Villarreal ist es am effektivsten, die Kreditkartenabrechnungen zu überprüfen, wenn die Mitarbeiter Ausgaben einreichen, und sie auf diese Weise zu finden. High-End-Spesenverfolgungslösungen können tatsächlich so konfiguriert werden, dass sie bestimmte Spesenarten kennzeichnen, sodass das Auffinden dieser Spesen zumindest etwas automatisiert werden kann. Er sagt aber auch, dass Ihr nächster Schritt von entscheidender Bedeutung ist und sich an die Mitarbeiter richtet, anstatt sie hart zu belasten.
"Bieten Sie an, die Dienstleistungen zu erbringen, die sie benötigen", sagte er. "Sobald Sie die Schurkendienstleistungen annehmen, können Sie Beziehungen zu den Benutzern aufbauen."
Er sagte, dass Sie durch die Akzeptanz der betrügerischen Cloud diese in Ihre eigene Sicherheit bringen und den Benutzern dabei helfen können, sicherzustellen, dass sie ihre Cloud-Instanz effizient betreiben können. Wenn Sie bereits Cloud-Services verwenden, können Sie wahrscheinlich denselben Service mit einem erheblichen Rabatt erhalten.
6 Schritte zur Einführung von Rogue IT
Denken Sie jedoch daran, dass jeder Rogue-Service, den Sie finden, unabhängig davon, ob er in AWS oder in sich abgeschlossen ist, wie z. B. Dropbox Business, ein Symptom für einen nicht erfüllten Bedarf ist. Die Mitarbeiter brauchten einen Service, und entweder konnten Sie ihn nicht zur Verfügung stellen, wenn sie ihn brauchten, oder sie wussten nicht, dass Sie das konnten. In beiden Fällen liegt die Hauptursache bei der IT, aber glücklicherweise sind diese Probleme relativ einfach zu beheben. Hier sind sechs Schritte, die Sie zu Beginn ausführen sollten:
Lernen Sie die Person kennen und finden Sie heraus, warum sie den Service erstellt hat, anstatt die IT-Abteilung zu verwenden. Möglicherweise dauert es zu lange, bis die IT reagiert, aber es kann auch andere Gründe geben, einschließlich eines Verbots, das dazu führen kann, dass sie ihre geschäftlichen Anforderungen nicht erfüllen.
Erfahren Sie mehr über den betrügerischen Cloud-Service, den sie verwenden, was sie damit tatsächlich tun und was sie getan haben, um ihn zu schützen. Sie müssen sicherstellen, dass es sicher ist, während Sie es hineinbringen.
Schauen Sie sich Ihre eigenen Verfahren an. Wie lange dauert es, bis ein Team den Zugriff auf Ihre Cloud-Services anfordert? Wie aufwendig ist der Genehmigungsprozess? Wie viel Hilfe sind Sie bereit zu leisten? Wie schwer ist es, an etwas Einfaches wie eine IP-Adresse zu kommen? Wie schwer ist es, in den Backup-Plan des Unternehmens aufgenommen zu werden?
Was kann Ihre IT-Abteilung tun, um unerwünschte Cloud-Konten überflüssig zu machen? Können Sie beispielsweise ein Mittel bereitstellen, um schnell und einfach Konten bei genehmigten Anbietern zu erstellen? Können Sie ein Cloud-Unternehmenskonto bereitstellen, das Mitarbeiter mit minimaler Verzögerung verwenden können? Können Sie Personal bereitstellen, um als Berater zu arbeiten, da die IT-Abteilung von niemandem zusätzliches Personal hat?
Was kann Ihre Abteilung tun, um Innovationen in Nicht-IT-Abteilungen zu fördern? Können Sie vielleicht ein Menü mit IT-Services bereitstellen, die auf Anfrage erhältlich sind? Vielleicht ein schneller Service für Teams, die etwas wirklich Innovatives tun, aber Hilfe benötigen, wie das Einbeziehen von Maschinellem Lernen (ML) in einen Teil ihres Geschäfts? Denken Sie daran, wenn Sie nicht helfen können oder wollen, wird ein hochmotiviertes Team ohne Sie weitermachen und das ist es, was Sie verhindern wollen.
Am wichtigsten ist, nutzen Sie die Erfahrung, um zu messen und zu verbessern, was Ihre IT-Mitarbeiter tun, um auf die Geschwindigkeit des Geschäfts zu reagieren.
- Die beste gehostete Endpoint-Schutz- und Sicherheitssoftware für 2019 Die beste gehostete Endpoint-Schutz- und Sicherheitssoftware für 2019
- Die besten Infrastructure-as-a-Service-Lösungen für 2019 Die besten Infrastructure-as-a-Service-Lösungen für 2019
- Die besten Mobile Device Management (MDM) -Lösungen für 2019 Die besten Mobile Device Management (MDM) -Lösungen für 2019
Ich weiß zu diesem Zeitpunkt, dass Sie das alles vielleicht nur vermasseln und behaupten, dass Sie nicht über die Ressourcen verfügen. Tatsache ist jedoch, dass Sie nicht viel an zusätzlichen Ressourcen benötigen, wenn Ihre Mitarbeiter selbst gute Arbeit leisten. Und wenn Sie versuchen, diese Art von Aktivität mit der sprichwörtlichen eisernen Faust zu verhindern, wird die Aktivität wahrscheinlich hinter den Kulissen fortgesetzt - und Sie laufen Gefahr, einen Sicherheitsvorfall oder einen Geschäftsausfall zu erleiden, der weitaus mehr Ressourcen erfordert als Sie werde jemals haben.
Auch Mega-Provider wie Amazon und Google werden gehackt. Wenn Sie Unmengen von Unternehmensdaten zu diesen Diensten haben, die nicht so geschützt sind wie Ihre offiziellen Geschäfte, können Sie leicht ein schlimmes Problem haben und sich dessen gar nicht bewusst sein, bis es zu spät ist. Sicher, Sie können einen Finger auf den Benutzer richten, der sich ohne Erlaubnis angemeldet hat, aber das wird einen verärgerten Chief Information Security Officer (CISO) nicht zufriedenstellen, der wissen möchte, warum die IT nicht X Prozent der virtuellen Server des Unternehmens ausmachen kann. Und es wird Ihren Kunden nicht helfen (die oft die ahnungslosen Opfer sind), weil es ihre persönlichen Daten sind, die auftauchen, wenn sie entlarvt werden.
"Die Mitarbeiter werden glücklicher sein", betonte Villarreal. Gleichzeitig sei darauf hinzuweisen, dass die Bestrafung von Mitarbeitern für ihre Motivation in der Regel dazu führt, dass sie nicht mehr motiviert sind. Niemand wird dir dafür danken. Durch die Akzeptanz des Schurkendienstes machen Sie nicht nur die Benutzer glücklich und halten sie motiviert, sondern schaffen auch einen vertrauensvollen Kommunikationskanal. Wenn sie dir vertrauen, gibt es keinen Grund, sich für Dienste zu registrieren, die schlau sind. Sie informieren Sie einfach so, wie sie es tun, denn Sie wissen, dass es für Sie beide besser ist.
