لا تقتل حسابات السحابة المارقة ، احتضنها

من منظور متخصص تكنولوجيا المعلومات ، تعتبر الخدمات السحابية سلاحًا ذا حدين. من جانب واحد ، يمكن للخدمات السحابية أن تقلل بشكل كبير من التكلفة ووقت التنفيذ حتى لخدمات البرمجيات المتقدمة حيث أن هذه الخدمات لا تتطلب الآن إعدادًا طويلاً وتكوينًا واختبارًا ولا الكثير من أجهزة الخادم باهظة الثمن. فقط قم بالتسجيل للحصول على حساب وتذهب. من ناحية أخرى ، فإن سهولة التنفيذ هذه هي شيء تعلمه المستخدمون أيضًا ، ويقوم الكثير منهم بإعداد حسابات خدمتهم الخاصة ، إما كأفراد أو كفرق - ويستخدمونها لتخزين جميع أنواع الشركات ومعالجتها. البيانات مع عدم وجود إدارة تكنولوجيا المعلومات أيا كان ، حتى يحدث خطأ ما.

لا شك أنك قلق بشأن قيام موظفيك بإعداد هذا النوع من خدمة "تكنولوجيا الظل". مثال شائع آخر هو جهاز توجيه Wi-Fi الرخيص. يقوم المستخدمون بشراء هذه الصناديق من موردين مثل Amazon ، ثم نشرها في مكاتبهم للحصول على إنتاجية Wi-Fi أفضل ، ولكن بدون أي إعدادات لجدار الحماية ، عادةً ما يصر عليها IT. مثال أكثر تطرفًا حدث لي: يوجد خادم أسفل مكتب شخص ما يستضيف منصة تطوير برمجية منخفضة بالكامل.

يمكن أن تكون أنظمة الظل لتكنولوجيا المعلومات أو تكنولوجيا المعلومات (IT) التي تم تطويرها داخل الشركة من قبل أفراد غير موظفي تكنولوجيا المعلومات الرسميين ، مشكلة خطيرة تتعلق بالأمان وحماية البيانات. على الأقل ، تحتوي هذه الأنظمة على خدمات غير محمية ببقية الإجراءات الأمنية التي تستخدمها تقنية المعلومات. وفي أسوأ الأحوال ، فهي توفر سطحًا إضافيًا وغير محمي إلى حد كبير للهجوم ، والذي غالباً ما يكون خلفي مباشرة في شبكة شركتك. من المحتمل أن تؤدي إجابتك الأولى إلى استئصال هؤلاء الموظفين ومعاقبتهم وتدمير تقنية الظل لديهم.

قد تعتقد أن الخدمات السحابية المارقة ليست مشكلة خطيرة مثل أمثلة الأجهزة التي ذكرتها للتو ، ولكن المشكلات متشابهة للغاية في الواقع. الموظفة ، دعنا نقول أنها مطورة ، تقرر شراء مثيل خادم سحابة ظاهري بسرعة على Amazon Web Services (AWS) أو Google Cloud Platform حتى تتمكن من اختبار بعض الرموز الجديدة التي تتخلف عنها بسرعة ، دون الحاجة إلى انتظار طلب للذهاب من خلاله. في بضع دقائق ، كانت تدير عبء العمل الخاص بها. إنها تدفع مقابل الخدمة عن طريق بطاقة الائتمان الخاصة بها ، معتبرة أنه بمجرد الموافقة على الكود ، يمكنها ببساطة حسابها.

قد لا تطارد مثل هذا المستخدم بجد كما تفعل مع شخص ينشر جهاز توجيه روغ لأن هناك اختلافين رئيسيين بين AWS وجهاز التوجيه الشخصي: أولاً ، ببساطة ، فإن العثور على خادم روغ المطور لدينا ليس بالأمر السهل. كما ذكرت شركة أبحاث السوق Statista (أدناه) ، فإن الحوكمة وإدارة السحابة المتعددة هما من أكبر التحديات التي تواجه متخصصي تكنولوجيا المعلومات في عصر السحابة. بدون معرفة مسبقة بحساب هذا المستخدم غير الرسمي ، كيف يمكنك تتبعه بسرعة دون انتهاك سياسات الأمان الخاصة بك فيما يتعلق بالخصوصية وحماية البيانات؟ ثانياً ، تتم إدارة Amazon من قبل مجموعة من خبراء تكنولوجيا المعلومات الذين لا يقومون بأي شيء طوال اليوم باستثناء الحفاظ على سير الخدمة بسلاسة وأمان. إذن ، ما مدى الصعوبة التي تحتاجها حقًا في البحث عن خادم تديره؟

تحديات إدارة الحوسبة السحابية في جميع أنحاء العالم في عام 2019

(صورة الائتمان: Statista)

مخاطر تكنولوجيا المعلومات المارقة

لا يعرف المستخدمون الذين ينشئون خدمات سحابية خاصة بهم الكثير عن أمان الشبكة ؛ إذا فعلوا ذلك ، فلن يفعلوا ما يفعلونه بالطريقة التي يقومون بها. يعلمون أنهم يرغبون في استخدام بعض الميزات المهمة التي تقدمها الخدمة السحابية وربما يعرفون كيفية جعلها تعمل على حل مشكلة ما. ولكن عندما يتعلق الأمر بتكوين جدار الحماية ، ليس لديهم أدنى فكرة ، وبما أن الخدمة تعمل عبر الإنترنت (والتي يتم تسليمها عبر جدار الحماية الذي تم تكوينه بواسطة تكنولوجيا المعلومات على أي حال) ، فمن المحتمل أن يكونوا محميين تمامًا. كل ما يثير قلقهم حقًا هو القيام بعملهم بأفضل طريقة يعرفون بها - وهو في الواقع أمر جيد.

لذا ، إذا كان ردك على هؤلاء الموظفين المتحمسين هو أن يلحق بهم مثل الكثير من الطوب ، ومعاقبتهم ، وإغلاق السحابة المارقة الخاصة بهم ، فقد ترغب في إعادة النظر. بالتأكيد ، ربما يتجاهلون القواعد التي وضعتها للحفاظ على السيطرة على تكنولوجيا المعلومات. لكن ، هناك احتمالات ، إنهم يفعلون ذلك لعدة أسباب جيدة ، واحد منهم على الأقل أنت.

لقد أنشأت البيئة في النهاية ، ويبدو أنها بيئة كانت تُرى فيها سحابة مارقة باعتبارها الطريقة الأفضل لهؤلاء الأشخاص لأداء وظائفهم. هذا يعني ، كمزود داخلي لخدمات تكنولوجيا المعلومات ، أنك لا تستجيب بالسرعة التي تتطلبها الأعمال. هؤلاء الموظفين بحاجة إلى هذه الخدمة السحابية اليوم ؛ كم من الوقت يحتاجون إلى الانتظار قبل أن تساعدهم؟

كيفية اكتشاف روغ تكنولوجيا المعلومات

وفقًا لـ Pablo Villarreal ، كبير ضباط الأمن (CSO) في Globant ، وهي شركة تساعد في التحول الرقمي ، فإن إيجاد خدمات سحابة مارقة ليس بالضرورة واضحًا. إذا كانت السحابة المارقة تستخدم نفس الموفر الذي تستخدمه بقية شركتك ، فقد يكون من المستحيل تقريبًا تحديد الفرق بين حركة المرور إلى السحابة المارقة والحركة السحابية العادية. في حالة خادم المطور المذكور أعلاه ، إذا كان لدى الشركة بالفعل بضع عشرات من خوادم Amazon الافتراضية التي تقوم بأعباء عمل أخرى ، ما مدى سهولة التمييز بين خادمها المارق الذي يستند إلى تحليل حركة المرور فقط؟ بينما يمكن لجدار الحماية من الجيل التالي الذي تم تكوينه بشكل صحيح والبرنامج المناسب القيام بذلك ، فإن العمل المطلوب للقيام بذلك مهم.

قال فياريال إن الطريقة الأكثر فاعلية هي إلقاء نظرة على بيانات بطاقة الائتمان عندما يقوم الموظفون بتقديم النفقات والعثور عليها بهذه الطريقة. يمكن في الواقع تكوين حلول تتبع النفقات الأعلى للإشارة إلى أنواع معينة من النفقات ، لذلك يمكن العثور عليها تلقائيًا على الأقل إلى حد ما. لكنه يقول أيضًا إن خطوتك التالية مهمة للغاية ، وهي الوصول إلى الموظفين بدلاً من الخوض عليهم بشدة.

وقال "عرض تقديم الخدمات التي يحتاجونها". "بمجرد احتضانك للخدمات المارقة ، يمكنك بناء علاقات مع المستخدمين."

وقال إنه من خلال احتضان السحابة المارقة ، يمكنك إحضارها داخل أمانك الخاص ، ويمكنك مساعدة المستخدمين على ضمان أن يتمكنوا من تشغيل مثيلهم السحابي بكفاءة. بالإضافة إلى ذلك ، إذا كنت تستخدم بالفعل الخدمات السحابية ، فمن المحتمل أن تحصل على نفس الخدمة بأسعار مخفضة.

6 خطوات لاحتضان روغ تكنولوجيا المعلومات

لكن تذكر ، أن كل خدمة مارقة تجدها ، سواء كانت موجودة على AWS أو شيء أكثر مكتفية ذاتيا مثل Dropbox Business ، إنها من أعراض الحاجة الملباة. كان الموظفون بحاجة إلى خدمة ، وإما أنك لا تستطيع تقديمها عندما يحتاجون إليها أو أنهم لا يعرفون ذلك. وفي كلتا الحالتين ، يكمن السبب الرئيسي في تكنولوجيا المعلومات ، ولكن لحسن الحظ ، من السهل نسبياً حل هذه المشكلات. فيما يلي ست خطوات يجب اتخاذها في البداية:

تعرف على الشخص ، واكتشف سبب اختياره لإنشاء الخدمة بدلاً من استخدام قسم تكنولوجيا المعلومات. هناك احتمالية أن يستغرق وقتًا طويلاً في الاستجابة لتكنولوجيا المعلومات ، ولكن قد يكون ذلك لأسباب أخرى ، بما في ذلك الحظر الذي قد يؤدي إلى عدم تلبية احتياجاتهم التجارية.

تعرف على المزيد حول الخدمة السحابية المارقة التي يستخدمونها وما الذي يقومون به بالفعل وما الذي فعلوه لحمايته. تحتاج إلى التأكد من أنها آمنة أثناء قيامك بإحضارها إلى الداخل.

انظر إلى الإجراءات الخاصة بك. كم من الوقت يستغرق الفريق لطلب الوصول إلى الخدمات السحابية الخاصة بك؟ كيف تشارك عملية الموافقة؟ ما مقدار المساعدة التي ترغب في تقديمها؟ ما مدى صعوبة الحصول على شيء بسيط ، مثل عنوان IP؟ ما مدى صعوبة تضمينك في خطة النسخ الاحتياطي للشركات؟

ما الذي يمكن أن يفعله قسم تكنولوجيا المعلومات لجعل حسابات السحابة المارقة غير ضرورية؟ على سبيل المثال ، هل يمكنك توفير وسيلة لإنشاء حسابات على مزودي الخدمة المعتمدين بسرعة وسهولة؟ هل يمكنك تقديم حساب سحابي للشركات يمكن للموظفين استخدامه بأقل قدر من التأخير؟ هل يمكنك توفير موظفين للعمل كمستشارين نظرًا لأن قسم تكنولوجيا المعلومات في أي شخص لديه موظفين إضافيين؟

ما الذي يمكن أن يفعله قسمك لتعزيز الابتكار في أقسام غير تكنولوجيا المعلومات؟ هل يمكنك تقديم قائمة من خدمات تكنولوجيا المعلومات المتوفرة عند الطلب؟ ربما تكون خدمة الرد السريع للفرق التي تقوم بعمل مبتكرة حقًا ولكنها تحتاج إلى مساعدة ، مثل دمج التعلم الآلي (ML) في جزء من أعمالها؟ تذكر ، إذا كنت لا تستطيع أو لن تساعد ، فإن فريقًا ذا دوافع كبيرة سينتقل بدونك وهذا ما تحاول منعه.

الأهم من ذلك ، استخدم الخبرة لقياس وتحسين ما يفعله موظفو تقنية المعلومات لديك للرد بسرعة العمل.

• أفضل برامج حماية وأمان نقطة النهاية المستضافة لعام 2019 أفضل برامج حماية وأمان نقطة النهاية المستضافة لعام 2019
• أفضل حلول البنية التحتية كخدمة لعام 2019 أفضل حلول البنية التحتية كخدمة لعام 2019
• أفضل حلول إدارة الأجهزة المحمولة (MDM) لعام 2019 أفضل حلول إدارة الأجهزة المحمولة (MDM) لعام 2019

أنا أعلم في هذه المرحلة ، قد يكون لديك كل هذا ، تدعي أنك لا تملك الموارد. ولكن الحقيقة هي أنه إذا كان الموظفون يقومون بعمل جيد بأنفسهم ، فلن تحتاج كثيرًا إلى الموارد الإضافية. وإذا حاولت منع هذا النوع من النشاط بقبضة من حديد المثل ، فمن المرجح أن يستمر هذا النشاط وراء الكواليس - وأنت تواجه خطرًا حقيقيًا بحدوث حادثة أمنية أو تعطل عمل يتطلب موارد أكثر بكثير مما تتطلبه سوف يكون من أي وقت مضى.

يتم اختراق المتطفلين الكبار مثل Amazon و Google. إذا كانت لديك بيانات عن بيانات الشركات حول هذه الخدمات غير محمية بالطريقة نفسها التي تتمتع بها المتاجر الرسمية ، فمن الممكن أن تواجه مشكلة سيئة بسهولة وأن تكون غير مدرك تمامًا لها حتى يفوت الأوان. بالتأكيد ، يمكنك توجيه أصابع الاتهام إلى المستخدم الذي قام بالتسجيل دون إذن ، لكن هذا لن يرضي كبير ضباط أمن المعلومات الغاضبين (CISO) الذي يريد أن يعرف سبب عدم قدرة تكنولوجيا المعلومات على حساب X بالمائة من الخوادم الافتراضية للشركة. ولن يساعد عملائك (الذين غالباً ما يكونون الضحايا غير المقصودين) لأن بياناتهم الشخصية هي التي ينتهي بها الأمر.

وأشار فياريال إلى أن "الموظفين سيكونون أكثر سعادة" ، مع الإشارة أيضًا إلى أن معاقبة الموظفين لدوافعهم لا تؤدي عمومًا إلى تحفيزهم. لا أحد سوف أشكركم على ذلك. من خلال تبني الخدمة المارقة ، فإنك لا تجعل المستخدمين سعداء وتحافظ على تحفيزهم فحسب ، بل تنشئ قناة اتصال قائمة على الثقة. إذا كانوا يثقون بك ، فلا يوجد سبب للتسجيل للحصول على الخدمات على ماكر. سيقومون ببساطة بإبلاغك أثناء قيامهم بذلك ، لأن معرفتك أفضل لكلا منكما.