Sommario:
Rischi informatici non autorizzati- Come rilevare IT non autorizzati
- 6 passaggi per abbracciare l'IT criminale
Video: Rogue's Deadliest Exploit | Rogue Lineage (Settembre 2024)
Dal punto di vista di un professionista IT, i servizi cloud sono un'arma a doppio taglio. Da un lato, i servizi cloud possono ridurre drasticamente i costi e i tempi di implementazione di servizi software anche avanzati poiché questi non richiedono tempi di installazione, configurazione e test prolungati né un sacco di costosi hardware server. Basta registrarsi per un account e vai. D'altra parte, questa facilità di implementazione è qualcosa che anche gli utenti hanno imparato e molti di loro stanno creando i propri account di servizio, sia come individui che come team, e li stanno usando per archiviare e manipolare tutti i tipi di società dati senza governance IT qualunque, fino a quando qualcosa non va storto.
Shadow IT, o sistemi informatici (IT) sviluppati all'interno di un'azienda da persone diverse dal personale IT ufficiale, possono rappresentare un grave problema di sicurezza e protezione dei dati. Per lo meno, questi sistemi contengono servizi che non sono protetti dal resto delle misure di sicurezza adottate dall'IT. E nel peggiore dei casi, forniscono una superficie di attacco aggiuntiva e in gran parte non protetta che spesso si trova direttamente nella tua rete aziendale. È probabile che la tua prima risposta sradichi questi dipendenti, li punisca e distrugga il loro IT ombra.
Potresti pensare che i servizi cloud canaglia non siano un problema grave come gli esempi hardware che ho appena menzionato, ma in realtà i problemi sono molto simili. Un dipendente, diciamo che è uno sviluppatore, decide di acquistare rapidamente un'istanza del server cloud virtualizzato su Amazon Web Services (AWS) o Google Cloud Platform in modo da poter testare rapidamente un nuovo codice su cui si trova dietro, senza dover attendere che una richiesta venga inviata attraverso esso. Tra pochi minuti, sta eseguendo il proprio carico di lavoro. Paga per il servizio con la sua carta di credito, immaginando che una volta approvato il codice, può semplicemente spenderlo.
Potresti non dare la caccia a un utente tanto diligentemente come faresti se qualcuno distribuisse un router canaglia perché ci sono due differenze chiave tra AWS e un router personale: in primo luogo, trovare semplicemente il server canaglia dello sviluppatore non è facile. Come riportato dalla società di ricerche di mercato Statista (sotto), la governance e la gestione multi-cloud sono due delle maggiori sfide per i professionisti IT nell'era del cloud. Senza una conoscenza preliminare dell'account non ufficiale di questo utente, come è possibile rintracciarlo rapidamente senza violare anche le proprie politiche di sicurezza relative alla privacy e alla protezione dei dati? In secondo luogo, Amazon è gestita da un esercito di personale IT esperto che non fa nulla tutto il giorno tranne che mantenere il servizio in esecuzione senza intoppi e in modo sicuro. Quindi quanto hai davvero bisogno di inseguire un server che stanno gestendo?
Sfide di gestione del cloud computing in tutto il mondo nel 2019
Rischi informatici non autorizzati
Gli utenti che creano i propri servizi cloud in genere non sanno molto della sicurezza della rete; se lo facessero, non farebbero quello che stanno facendo come loro. Sanno di voler utilizzare alcune funzionalità importanti offerte dal servizio cloud e probabilmente sanno come farlo funzionare per risolvere un problema. Ma quando si tratta di configurare un firewall, non ne hanno idea e poiché il servizio è in esecuzione su Internet (che viene comunque fornito tramite un firewall configurato dall'IT), probabilmente immaginano di essere completamente protetti. Tutto ciò di cui si preoccupano davvero è fare il loro lavoro nel modo migliore che sanno, il che è in realtà una buona cosa.
Quindi, se la tua risposta a questi dipendenti motivati è di colpirli come una tonnellata di mattoni, punirli e spegnere la loro nuvola canaglia, allora potresti voler riconsiderare. Certo, forse stanno ignorando le regole che hai fatto per mantenere il controllo dell'IT. Ma è probabile che lo stiano facendo per diversi buoni motivi, almeno uno di questi è te.
Dopotutto hai creato l'ambiente e sembra essere quello in cui una nuvola canaglia è stata vista come il modo migliore per queste persone di svolgere il proprio lavoro. Ciò significa che, come fornitore interno di servizi IT, non stai rispondendo alla velocità richiesta dall'azienda. Questi dipendenti avevano bisogno di quel servizio cloud oggi; quanto avrebbero dovuto aspettare prima che li aiutassi?
Come rilevare IT non autorizzati
Secondo Pablo Villarreal, Chief Security Officer (CSO) di Globant, un'azienda che aiuta nella trasformazione digitale, la ricerca di servizi cloud canaglia non è necessariamente ovvia. Se il cloud canaglia utilizza lo stesso provider del resto dell'azienda, potrebbe essere quasi impossibile distinguere il traffico tra il cloud canaglia e il normale traffico cloud. Nel caso del suddetto server per sviluppatori, se la società avesse già alcune decine di server Amazon virtualizzati che eseguivano altri carichi di lavoro, quanto sarebbe facile distinguere il suo unico server non autorizzato basandosi esclusivamente sull'analisi del traffico? Mentre un firewall di prossima generazione correttamente configurato e un software adeguato possono farlo, il lavoro richiesto per farlo è significativo.
Villarreal ha affermato che il modo più efficace è quello di esaminare gli estratti conto delle carte di credito quando i dipendenti inviano le spese e le trovano in quel modo. Le soluzioni di tracciamento delle spese di fascia alta possono effettivamente essere configurate per contrassegnare specifici tipi di spesa, quindi trovarle può essere almeno in qualche modo automatizzata. Ma dice anche che il tuo prossimo passo è fondamentale e che sta raggiungendo i dipendenti piuttosto che affrontarli duramente.
"Offrire di fornire i servizi di cui hanno bisogno", ha detto. "Una volta abbracciati i servizi canaglia, puoi costruire relazioni con gli utenti."
Ha detto che abbracciando il cloud canaglia, puoi portarlo all'interno della tua sicurezza e puoi aiutare gli utenti a garantire che possano gestire la loro istanza cloud in modo efficiente. Inoltre, se stai già utilizzando i servizi cloud, puoi probabilmente ottenere lo stesso servizio con uno sconto significativo.
6 passaggi per abbracciare l'IT criminale
Ma ricorda, ogni servizio canaglia che trovi, sia su AWS che su qualcosa di più autonomo come Dropbox Business, è un sintomo di un'esigenza insoddisfatta. I dipendenti avevano bisogno di un servizio e non potevi fornirlo quando ne avevano bisogno o non sapevano che potevi. In ogni caso, la causa principale risiede nell'IT ma, fortunatamente, questi problemi sono relativamente facili da risolvere. Ecco sei passaggi che dovresti fare all'inizio:
Conosci la persona e scopri perché ha scelto di creare il servizio invece di utilizzare il reparto IT. È probabile che l'IT impieghi troppo tempo a rispondere, ma potrebbero esserci altri motivi, tra cui un divieto che potrebbe comportare il mancato rispetto delle esigenze aziendali.
Scopri di più sul servizio cloud canaglia che stanno utilizzando, su cosa stanno effettivamente facendo e su cosa hanno fatto per proteggerlo. Devi assicurarti che sia sicuro mentre lo stai portando dentro.
Guarda le tue procedure. Quanto tempo impiega un team a richiedere l'accesso ai servizi cloud? Quanto è coinvolto il processo di approvazione? Quanto aiuto sei disposto a fornire? Quanto è difficile ottenere qualcosa di semplice, come un indirizzo IP? Quanto è difficile essere inclusi nel piano di backup aziendale?
Cosa può fare il reparto IT per rendere superflui gli account cloud non autorizzati? Ad esempio, puoi fornire un mezzo per creare account su fornitori approvati in modo rapido e semplice? Potete fornire un account cloud aziendale che i dipendenti possono utilizzare con un ritardo minimo? Potete fornire personale per lavorare come consulenti poiché nessuno dei reparti IT ha personale extra?
Cosa può fare il dipartimento per favorire l'innovazione nei dipartimenti non IT? Potete forse fornire un menu di servizi IT disponibili su richiesta? Forse un servizio di reazione rapida per i team che stanno facendo qualcosa di veramente innovativo ma che hanno bisogno di aiuto, come incorporare l'apprendimento automatico (ML) in una parte della loro attività? Ricorda, se non puoi o non vuoi aiutare, allora un team altamente motivato andrà avanti senza di te ed è quello che stai cercando di prevenire.
Soprattutto, utilizzare l'esperienza per misurare e migliorare ciò che il personale IT sta facendo per reagire alla velocità del business.
- Il miglior software di protezione e sicurezza degli endpoint ospitato per il 2019 Il miglior software di protezione e sicurezza degli endpoint ospitato per il 2019
- Le migliori soluzioni di infrastruttura come servizio per il 2019 Le migliori soluzioni di infrastruttura come servizio per il 2019
- Le migliori soluzioni di gestione dei dispositivi mobili (MDM) per il 2019 Le migliori soluzioni di gestione dei dispositivi mobili (MDM) per il 2019
So che a questo punto, potresti fare il coglione di tutto questo, sostenendo che non hai le risorse. Ma il fatto è che se i tuoi dipendenti stanno facendo un buon lavoro da soli, allora non hai bisogno di molto in termini di risorse aggiuntive. E se provi a prevenire questo tipo di attività con il proverbiale pugno di ferro, allora l'attività probabilmente continuerà dietro le quinte e corri il rischio molto reale di avere un incidente di sicurezza o un fallimento che richiederà molte più risorse di te lo avrò mai.
Anche i mega-provider come Amazon e Google vengono hackerati. Se disponi di risme di dati aziendali su questi servizi che non sono protetti nello stesso modo dei tuoi negozi ufficiali, allora potresti facilmente avere un brutto problema ed esserne completamente inconsapevole fino a quando non è troppo tardi. Certo, puoi puntare un dito sull'utente che si è registrato senza autorizzazione, ma questo non soddisferà un arrabbiato Chief Information Security Officer (CISO) che vuole sapere perché l'IT non può rappresentare l'X percento dei server virtuali dell'azienda. E non aiuterà i tuoi clienti (che sono spesso vittime inconsapevoli) perché sono i loro dati personali a finire esposti.
"I dipendenti saranno più felici", ha sottolineato Villarreal, notando anche che punire i dipendenti per la loro motivazione generalmente non li rende più motivati. Nessuno ti ringrazierà per questo. Abbracciando il servizio canaglia, non solo rendi felici gli utenti e li mantieni motivati, ma stabilisci anche un canale di comunicazione basato sulla fiducia. Se si fidano di te, non c'è motivo di iscriversi ai servizi di nascosto. Ti informeranno semplicemente mentre lo fanno, poiché sai che è meglio per entrambi.
