Table des matières:
Risques informatiques indésirables- Comment détecter les Rogue IT
- 6 étapes pour embrasser la Rogue IT
Vidéo: Adobe Live Atom | Motion et vidéo avec Sauvane | Adobe France (Novembre 2024)
Du point de vue des professionnels de l'informatique, les services cloud sont une arme à double tranchant. D'un côté, les services en nuage peuvent réduire considérablement le coût et le temps de mise en œuvre de services logiciels même avancés, car ils ne nécessitent plus de temps d'installation, de configuration et de test longs, ni beaucoup de matériel serveur coûteux. Il suffit de créer un compte et de partir. D'autre part, cette facilité d'implémentation est une chose que les utilisateurs ont apprise, et beaucoup d'entre eux créent leurs propres comptes de service, individuellement ou en équipe, et les utilisent pour stocker et manipuler toutes sortes de logiciels d'entreprise. données sans gouvernance informatique, jusqu'à ce que quelque chose se passe mal.
Un système informatique fantôme ou des systèmes informatiques développés au sein d'une entreprise par des personnes autres que le personnel informatique officiel peuvent poser un grave problème de sécurité et de protection des données. À tout le moins, ces systèmes contiennent des services qui ne sont pas protégés par le reste des mesures de sécurité employées par le service informatique. Et au pire, ils fournissent une surface d'attaque supplémentaire, en grande partie non protégée, qui est souvent directement connectée à l'arrière-plan directement sur votre réseau d'entreprise. Votre première réponse est susceptible de déraciner ces employés, de les punir et de détruire leur système informatique fantôme.
Vous pensez peut-être que les services infonuagiques en nuage ne sont pas un problème aussi grave que les exemples de matériel que je viens de mentionner, mais en réalité, les problèmes sont très similaires. Une employée, par exemple une développeur, décide d’acheter rapidement une instance de serveur cloud virtualisée sur Amazon Web Services (AWS) ou Google Cloud Platform afin de pouvoir tester rapidement le nouveau code sur lequel elle est derrière, sans attendre la demande. à travers. Dans quelques minutes, elle exécute sa propre charge de travail. Elle paie pour le service avec sa carte de crédit, estimant qu'une fois le code approuvé, elle peut tout simplement le passer en charge.
Vous ne rechercherez peut-être pas un tel utilisateur avec autant de diligence que celui qui déploie un routeur non autorisé, car il existe deux différences essentielles entre AWS et un routeur personnel: Premièrement, il n'est pas facile de trouver le serveur non fiable de notre développeur. Comme indiqué par le cabinet d'études de marché Statista (ci-dessous), la gouvernance et la gestion multi-cloud sont deux des plus grands défis auxquels sont confrontés les professionnels de l'informatique à l'ère du cloud. Sans connaissance préalable du compte non-social de cet utilisateur, comment le localiser rapidement sans violer également ses propres politiques de sécurité en matière de confidentialité et de protection des données? Deuxièmement, Amazon est géré par une armée de personnel informatique expérimenté qui ne fait rien de la journée si ce n’est que le service continue de fonctionner correctement et en toute sécurité. Alors, à quel point avez-vous vraiment besoin de chasser un serveur qu’ils gèrent?
Les défis de la gestion de l'informatique en nuage dans le monde en 2019
Risques informatiques indésirables
Les utilisateurs qui créent leurs propres services de cloud computing en savent généralement peu sur la sécurité du réseau. s'ils le faisaient, ils ne feraient pas ce qu'ils font comme ils le font. Ils savent qu'ils veulent utiliser certaines fonctionnalités importantes offertes par le service cloud et savent probablement comment le faire fonctionner pour résoudre un problème. Mais en ce qui concerne la configuration d'un pare-feu, ils n'en ont aucune idée et, puisque le service fonctionne sur Internet (qui est de toute façon fourni via un pare-feu configuré en informatique), ils pensent probablement qu'ils sont entièrement protégés. Tout ce qui les préoccupe vraiment, c'est de faire leur travail de la meilleure façon qui soit - ce qui est en fait une bonne chose.
Donc, si votre réponse à ces employés motivés est de les écraser comme une tonne de briques, de les punir et de fermer leur nuage voyous, alors vous voudrez peut-être reconsidérer votre décision. Bien sûr, ils ignorent peut-être les règles que vous avez établies pour garder le contrôle de l'informatique. Mais il y a des chances qu'ils le fassent pour plusieurs bonnes raisons, dont au moins une d'entre vous.
Après tout, vous avez créé l'environnement, et il semble que ce soit un nuage malhonnête qui soit perçu comme le meilleur moyen pour ces personnes de faire leur travail. Cela signifie qu'en tant que fournisseur de services informatiques interne, vous ne répondez pas à la vitesse requise par votre entreprise. Ces employés avaient besoin de ce service cloud aujourd'hui; Combien de temps auraient-ils dû attendre avant de les aider?
Comment détecter les Rogue IT
Selon Pablo Villarreal, responsable de la sécurité (CSO) de Globant, une entreprise qui aide à la transformation numérique, la recherche de services en nuage malhonnêtes n’est pas forcément évidente. Si le nuage malhonnête utilise le même fournisseur que le reste de votre entreprise, il peut être quasiment impossible de faire la différence entre le trafic sur le nuage non autorisé et votre trafic en nuage normal. Dans le cas du serveur de notre développeur mentionné ci-dessus, si l'entreprise disposait déjà de plusieurs dizaines de serveurs Amazon virtualisés effectuant d'autres charges de travail, serait-il facile de distinguer son serveur non fiable basé uniquement sur l'analyse du trafic? Bien qu'un pare-feu de nouvelle génération correctement configuré et le logiciel approprié puissent le faire, le travail requis pour le faire est considérable.
Villarreal a expliqué que le moyen le plus efficace consiste à examiner les relevés de carte de crédit lorsque les employés soumettent des dépenses et les trouvent ainsi. Les solutions de suivi des dépenses haut de gamme peuvent en réalité être configurées pour signaler des types de dépenses spécifiques. Ainsi, leur recherche peut être au moins quelque peu automatisée. Mais il dit aussi que votre prochaine étape est cruciale et consiste à atteindre les employés plutôt que de leur en vouloir.
"Offre de fournir les services dont ils ont besoin", a-t-il déclaré. "Une fois que vous avez adopté les services malveillants, vous pouvez créer des relations avec les utilisateurs."
Il a déclaré qu'en adoptant le cloud malhonnête, vous pouviez l'intégrer à votre propre sécurité et aider les utilisateurs à faire en sorte qu'ils puissent exploiter efficacement leur instance de cloud. De plus, si vous utilisez déjà des services en nuage, vous pouvez probablement obtenir le même service avec un rabais important.
6 étapes pour embrasser la Rogue IT
Mais rappelez-vous, chaque service indésirable que vous trouvez, que ce soit sur AWS ou quelque chose de plus autonome, tel que Dropbox Business, est le symptôme d'un besoin non satisfait. Les employés avaient besoin d'un service, et soit vous ne pouviez pas le fournir quand ils en avaient besoin, soit ils ne savaient pas que vous le pouviez. Quoi qu’il en soit, la TI est à l’origine du problème, mais heureusement, ces problèmes sont relativement faciles à résoudre. Voici six étapes à suivre dès le départ:
Apprenez à connaître la personne et découvrez pourquoi elle a choisi de créer le service plutôt que d'utiliser le service informatique. Il se peut que les TI prennent trop de temps à réagir, mais il pourrait y avoir d'autres raisons, notamment une interdiction qui pourrait empêcher les entreprises de répondre à leurs besoins.
Renseignez-vous davantage sur le service cloud indésirable qu’ils utilisent, ce qu’ils en font et ce qu’ils ont fait pour le protéger. Vous devez vous assurer qu'il est sécurisé pendant que vous êtes en train de l'introduire.
Regardez vos propres procédures. Combien de temps faut-il à une équipe pour demander l'accès à vos services cloud? À quel point le processus d'approbation est-il impliqué? Quelle aide êtes-vous prêt à fournir? Est-il difficile d'obtenir quelque chose de simple, telle qu'une adresse IP? Est-il difficile d’être inclus dans le plan de sauvegarde de l’entreprise?
Que peut faire votre service informatique pour éliminer les comptes cloud indésirables? Par exemple, pouvez-vous fournir un moyen de créer des comptes sur des fournisseurs approuvés rapidement et facilement? Pouvez-vous fournir un compte cloud d'entreprise que les employés peuvent utiliser dans les meilleurs délais? Pouvez-vous fournir du personnel pour travailler en tant que consultant puisque le service informatique de personne ne dispose de personnel supplémentaire?
Que peut faire votre ministère pour encourager l’innovation dans les départements autres que informatiques? Pouvez-vous peut-être fournir un menu de services informatiques disponibles sur demande? Peut-être un service de réaction rapide pour les équipes qui font quelque chose de vraiment innovant mais qui ont besoin d’aide, comme l’incorporation de l’apprentissage automatique (ML) dans une partie de leur activité? Rappelez-vous que si vous ne pouvez pas ou ne voulez pas aider, une équipe très motivée ira de l'avant sans vous et c'est ce que vous essayez d'éviter.
Plus important encore, utilisez l'expérience pour mesurer et améliorer les actions de votre personnel informatique afin de réagir au rythme des activités.
- Le meilleur logiciel hébergé de protection et de sécurité Endpoint pour 2019 Le meilleur logiciel hébergé de protection et de sécurité Endpoint pour 2019
- Les meilleures solutions d'infrastructure en tant que service pour 2019 Les meilleures solutions d'infrastructure en tant que service pour 2019
- Les meilleures solutions de gestion des appareils mobiles (MDM) pour 2019 Les meilleures solutions de gestion des appareils mobiles (MDM) pour 2019
Je sais qu'à ce stade-ci, vous risquez de faire tout ce que vous voulez, de prétendre que vous n'avez pas les ressources. Mais le fait est que si vos employés font du bon travail eux-mêmes, vous n’avez pas besoin de beaucoup de ressources supplémentaires. Et si vous essayez d'empêcher ce type d'activité avec le poing de fer proverbial, l'activité se poursuivra probablement dans les coulisses - et vous courez le risque réel d'avoir un incident de sécurité ou une défaillance de l'entreprise qui nécessitera bien plus de ressources que vous. vous aurez jamais.
Même les méga-fournisseurs tels qu'Amazon et Google sont piratés. Si vous disposez de quantités de données d'entreprise sur ces services qui ne sont pas protégées de la même manière que vos magasins officiels, vous pourriez facilement avoir un vilain problème et en être complètement inconscient jusqu'à ce qu'il soit trop tard. Bien sûr, vous pouvez pointer du doigt l'utilisateur qui s'est connecté sans autorisation, mais cela ne va pas satisfaire un responsable de la sécurité de l'information (CISO) en colère qui veut savoir pourquoi le service informatique ne pourrait pas comptabiliser X% des serveurs virtuels de l'entreprise. Et cela ne va pas aider vos clients (qui sont souvent les victimes involontaires) car ce sont leurs données personnelles qui finissent par être exposées.
"Les employés seront plus heureux", a souligné M. Villarreal, tout en soulignant que le fait de punir les employés pour leur motivation les empêche généralement d'être motivés. Personne ne va vous remercier pour cela. En adoptant le service malhonnête, vous rendez non seulement les utilisateurs heureux et les motivez, vous établissez également un canal de communication basé sur la confiance. S'ils vous font confiance, il n'y a aucune raison de s'inscrire en catimini pour des services. Ils vous informeront simplement comme ils le font, puisque vous savez que c'est mieux pour vous deux.
