Índice:
Vídeo: Rap do Sasuke e Itachi (Naruto) - A CANÇÃO DOS RENEGADOS | NERD HITS (Novembro 2024)
Da perspectiva de um profissional de TI, os serviços em nuvem são uma faca de dois gumes. Por um lado, os serviços em nuvem podem reduzir drasticamente o custo e o tempo de implementação dos serviços de software avançados, já que agora não exigem longos tempos de instalação, configuração e teste, nem muito hardware de servidor caro. Basta se inscrever em uma conta e pronto. Por outro lado, essa facilidade de implementação também é algo que os usuários aprenderam, e muitos deles estão criando suas próprias contas de serviço, como indivíduos ou equipes - e estão usando-os para armazenar e manipular todos os tipos de empresas. dados sem governança de TI, até que algo dê errado.
Os sistemas de TI de sombra, ou sistemas de tecnologia da informação (TI) desenvolvidos em uma empresa por indivíduos que não sejam funcionários oficiais de TI, podem ser um sério problema de segurança e proteção de dados. No mínimo, esses sistemas contêm serviços que não são protegidos pelo restante das medidas de segurança que a TI emprega. E, na pior das hipóteses, eles fornecem uma superfície de ataque adicional e praticamente desprotegida, que geralmente backdoors diretamente na sua rede corporativa. É provável que sua primeira resposta expulse esses funcionários, os castigue e destrua a sombra da TI.
Você pode pensar que os serviços de nuvem não autorizados não são um problema tão grave quanto os exemplos de hardware que acabei de mencionar, mas na verdade os problemas são muito semelhantes. Uma funcionária, digamos que ela seja uma desenvolvedora, decide comprar rapidamente uma instância de servidor de nuvem virtualizada no Amazon Web Services (AWS) ou no Google Cloud Platform para que possa testar rapidamente algum novo código que está atrasado, sem ter que esperar pela solicitação através da TI. Em alguns minutos, ela está executando sua própria carga de trabalho. Ela paga pelo serviço com seu cartão de crédito, calculando que, uma vez aprovado o código, ele pode simplesmente gastá-lo.
Você pode não procurar um usuário tão diligentemente quanto faria com um roteador não autorizado, porque existem duas diferenças principais entre a AWS e um roteador pessoal: Primeiro, simplesmente encontrar o servidor não autorizado do desenvolvedor não é fácil. Conforme relatado pela empresa de pesquisa de mercado Statista (abaixo), governança e gerenciamento de várias nuvens são dois dos maiores desafios que os profissionais de TI enfrentam na era da nuvem. Sem o conhecimento prévio da conta não-social deste usuário, como você a localiza rapidamente, sem violar também suas próprias políticas de segurança relacionadas à privacidade e proteção de dados? Segundo, a Amazon é gerenciada por um exército de funcionários especializados em TI que não fazem nada o dia todo, exceto manter o serviço funcionando de maneira tranquila e segura. Então, o quanto você realmente precisa perseguir um servidor que eles estão gerenciando?
Desafios do gerenciamento da computação em nuvem em todo o mundo em 2019
Riscos de TI não autorizados
Usuários que criam seus próprios serviços em nuvem geralmente não sabem muito sobre segurança de rede; se o fizessem, não estariam fazendo o que estão fazendo do jeito que estão fazendo. Eles sabem que desejam usar algum recurso importante que o serviço em nuvem oferece e provavelmente sabem como fazê-lo funcionar para resolver um problema. Mas quando se trata de configurar um firewall, eles não têm idéia e, como o serviço está sendo executado na Internet (que é entregue por meio de um firewall configurado pela TI), eles provavelmente pensam que estão totalmente protegidos. Eles só se preocupam em fazer o trabalho da melhor maneira que sabem - o que é realmente uma coisa boa.
Portanto, se a sua resposta a esses funcionários motivados for derrubá-los como uma tonelada de tijolos, puni-los e desligar a nuvem desonesta, convém reconsiderar. Claro, talvez eles estejam ignorando as regras que você fez para manter o controle da TI. Mas, as chances são de que estão fazendo isso por várias boas razões, pelo menos uma delas sendo você.
Você criou o ambiente, afinal, e parece ser aquele em que uma nuvem não autorizada foi vista como a melhor maneira para essas pessoas realizarem seu trabalho. Isso significa que, como provedor de serviços de TI interno, você não está respondendo na velocidade que os negócios exigem. Esses funcionários precisavam desse serviço em nuvem hoje; quanto tempo eles precisariam esperar antes que você os ajudasse?
Como detectar TI não autorizado
De acordo com Pablo Villarreal, diretor de segurança (CSO) da Globant, uma empresa que ajuda na transformação digital, encontrar serviços de nuvem não autorizados não é necessariamente óbvio. Se a nuvem não autorizada estiver usando o mesmo provedor que o restante da sua empresa, pode ser quase impossível diferenciar o tráfego da nuvem não autorizada e do tráfego normal na nuvem. No caso do servidor de nosso desenvolvedor mencionado acima, se a empresa já tivesse algumas dezenas de servidores Amazon virtualizados executando outras cargas de trabalho, quão fácil seria distinguir seu único servidor não autorizado com base apenas na análise de tráfego? Embora um firewall de próxima geração adequadamente configurado e um software apropriado possam fazê-lo, o trabalho necessário para isso é significativo.
Villarreal disse que a maneira mais eficaz é examinar as declarações do cartão de crédito quando os funcionários enviam as despesas e as consideram assim. As soluções de rastreamento de despesas de ponta podem realmente ser configuradas para sinalizar tipos de despesas específicos, portanto, encontrá-las pode ser pelo menos um pouco automatizada. Mas ele também diz que seu próximo passo é crítico, e isso é chegar aos funcionários, em vez de dar duro com eles.
"Ofereça-se para fornecer os serviços de que eles precisam", disse ele. "Depois de adotar os serviços não autorizados, você pode construir relacionamentos com os usuários".
Ele disse que, ao adotar a nuvem não autorizada, você pode trazê-la para sua própria segurança e ajudar os usuários a garantir que eles possam operar suas instâncias de nuvem com eficiência. Além disso, se você já estiver usando serviços em nuvem, provavelmente poderá obter o mesmo serviço com um desconto significativo.
6 etapas para adotar o Rogue IT
Mas lembre-se, todos os serviços não autorizados que você encontrar, seja na AWS ou em algo mais autônomo, como o Dropbox Business, são sintomas de uma necessidade não atendida. Os funcionários precisavam de um serviço, e você não podia prestar quando era necessário ou não sabia que você podia. De qualquer forma, a causa principal está na TI, mas, felizmente, esses problemas são relativamente fáceis de corrigir. Aqui estão seis etapas que você deve seguir desde o início:
Conheça a pessoa e descubra por que ela escolheu criar o serviço em vez de usar o departamento de TI. As chances são de que a TI demore muito para responder, mas pode haver outros motivos, incluindo uma proibição que pode resultar no não atendimento de suas necessidades de negócios.
Saiba mais sobre o serviço de nuvem não autorizado que eles estão usando, o que realmente estão fazendo com ele e o que fizeram para protegê-lo. Você precisa garantir que ele esteja seguro enquanto estiver trazendo-o para dentro.
Veja seus próprios procedimentos. Quanto tempo leva para uma equipe solicitar acesso aos seus serviços em nuvem? Quão envolvido está o processo de aprovação? Quanta ajuda você está disposto a fornecer? Quão difícil é conseguir algo simples, como um endereço IP? Quão difícil é ser incluído no plano de backup corporativo?
O que seu departamento de TI pode fazer para tornar desnecessárias as contas na nuvem não autorizada? Por exemplo, você pode fornecer um meio para criar contas em provedores aprovados de maneira rápida e fácil? Você pode fornecer uma conta corporativa na nuvem que os funcionários possam usar com um atraso mínimo? Você pode fornecer pessoal para trabalhar como consultor, já que o departamento de TI de ninguém possui uma equipe extra?
O que seu departamento pode fazer para promover a inovação em departamentos que não são de TI? Você pode talvez fornecer um menu de serviços de TI que estão disponíveis mediante solicitação? Talvez um serviço de reação rápida para equipes que estão fazendo algo realmente inovador, mas que precisam de ajuda, como incorporar o aprendizado de máquina (ML) em uma parte de seus negócios? Lembre-se, se você não pode ou não quer ajudar, uma equipe altamente motivada seguirá em frente sem você e é isso que você está tentando impedir.
Mais importante, use a experiência para medir e melhorar o que sua equipe de TI está fazendo para reagir na velocidade dos negócios.
- O melhor software de proteção e segurança de endpoint hospedado para 2019 O melhor software de proteção e segurança de endpoint hospedado para 2019
- As melhores soluções de infraestrutura como serviço em 2019 As melhores soluções de infraestrutura como serviço em 2019
- As melhores soluções de gerenciamento de dispositivos móveis (MDM) para 2019 As melhores soluções de gerenciamento de dispositivos móveis (MDM) para 2019
Eu sei que, neste momento, você pode estar estragando tudo isso, alegando que não tem os recursos. Mas o fato é que, se seus funcionários estão fazendo um bom trabalho, eles não precisam muito de recursos adicionais. E se você tentar impedir esse tipo de atividade com o proverbial punho de ferro, a atividade provavelmente continuará nos bastidores - e você corre o risco real de ter um incidente de segurança ou uma falha de negócios que exigirá muito mais recursos do que você nunca vou ter.
Até mega-fornecedores como Amazon e Google são invadidos. Se você tiver um monte de dados corporativos nesses serviços que não estão protegidos da mesma forma que suas lojas oficiais, poderá facilmente ter um problema desagradável e não ter conhecimento dele até que seja tarde demais. Claro, você pode apontar um dedo para o usuário que se inscreveu sem permissão, mas isso não satisfará um CISO (Chief Information Security Officer) que quer saber por que a TI não pode responder por X% dos servidores virtuais da empresa. E isso não vai ajudar seus clientes (que geralmente são vítimas involuntárias) porque são os dados pessoais deles que acabam sendo expostos.
"Os funcionários serão mais felizes", apontou Villarreal, ao mesmo tempo em que observa que punir os funcionários por sua motivação geralmente resulta em que eles não estão mais motivados. Ninguém vai agradecer por isso. Ao adotar o serviço não autorizado, você não apenas deixa os usuários felizes e os mantém motivados, mas também estabelece um canal de comunicação baseado na confiança. Se eles confiam em você, não há razão para se inscrever nos serviços às escondidas. Eles simplesmente o informarão, pois você sabe que é melhor para os dois.