各位先進前輩大神好
一般而言,公司IT單位都會為各部門建好Files Sharing Folder or sharepoint or KM等的公用資料平台,並架構好版控、備份、稽核等措施,也期望使用者和各單位能把資料集中到上面去。不過事情總是難以如此順利,使用者在各種理由下(怕被監控、習慣性不放、宣稱業務極機密等等)就是不會把資料集中上去,然後用自己單位的預算買NAS、買dropbox空間來放(想當然瞞著IT),各單位越買越多,這樣的情況行之有年後就是NAS散落在內網各部門的角落,每每發現NAS可能在一個滿是灰塵的角落、不起眼的櫃子、風水水族缸的後面中運作,裡面的資料像是垃圾山一樣沒有分類加密也無主(離職10年以上的私人檔也在),成為資安風險與無法保障的資料漏洞,也吃定IT拿他沒轍。這議題涵蓋了設備不當保管、資料生命週期管理、資源配置、公用儲存空間不足和管制政策結構不明確等等。
是說如果遇到上述這個情境(可能也是很多公司內的情境),試問該如何去收斂收管?
小弟我這邊試擬兩種方案作為拋磚草案,請大家用力鞭
方案一:集中託管
1.集中:行政命令要求所有NAS都集中放置於機房,由IT負責管理維護
2.託管:交出NAS設備最高權限,內部資料進行分級加密、權限套用
方案二:集中式大熔爐
1.由IT提案建立一個足以滿足所有資料量與成長性的儲存空間(或M365 sharepoint等方案)。
2.海納百川,要求各單位將NAS內資料傳遞到該儲存空間,使之資料集中化管控。限期傳完後封鎖NAS接入內網、從此禁用部門NAS。
上述很粗淺的構想方向,執行上也會遇到許多層面的挑戰,望請各位大神指點更好的方法。
感激不盡
已邀請的邦友 {{ invite_list.length }}/5
拒絕要有替代,方案二長期來說會是比較適合管理的做法,畢竟不用顧慮各NAS廠牌不同的問題,需要一直更新。而且若公司有提供M365 SharePoint/One Drive,也可順便宣導捨棄Dropbox。
或者先從方案一開始,一旦由IT負責管理後,自行逐步將該NAS轉至方案二;也可以依各部門配合度採取兩個方案同時進行,願意配合方案二的部門就直接轉換,暫時不想馬上換只能配合方案一的就先收回管理權,日後再轉換。
無論那種方案,建議都需要與高層主管們達成共識、同意、與各部門協調後再執行,避免日後負面聲音造成專案流產。強調轉換的好處如版控、備份、稽核、有IT專門支援等等,盡量讓使用者體驗和原本一樣。
轉換完成後除了要從網路層面防堵私接NAS設備,還要注意私接的USB硬碟,否則各單位私自買USB硬碟儲存資料,日後又是另一個問題。
為何要收管?
您都說那是"裡面的資料像是垃圾山一樣沒有分類加密也無主"
您要做的就是基於:
"資安風險" 與 "資料保密" 與 "資源分項"
原則來建立公司的"知識中心"
讓同仁有放心(不會被刪被鎖)且適用(找的到想要的資料)資料放置處
這樣同仁就會主動放上他認為很重要的資料
您的專業及心力應該是要放在對的地方->"知識中心"
散落各地的NAS不用理會!
PS:
可以允許同仁私人的檔案放在"知識中心"嗎?
我的建議是"可以"
因為
這樣才能營造"公司就是家"!
這樣才能讓同仁向心力更大!
我想不管是哪個方案,最大的因素還是有沒有最上頭老闆的支持
今年年初我就經歷過這樣的風波
但因為是有ISO 27001的大前題下,老闆答應支持
建立HA,建立異地快照備份
再來就是和各部門主管溝通(沒有老闆支持這步驟真的很難)
集中之後,列出檔3年以上沒異動過的檔案清單,各部門開始篩選,開始封存加密或刪除
然後個資檔案清查列管
這些步驟不管哪步都會被人嫌,但已經大老闆說話了,我都以此當原則去溝通
才能順利完成
主要是替代方案與管理辦法要先準備好,
我在去年九月初處理完新公司的散落各處nas問題,
120人的公司,nas有15台,rd部門的nas就擺在空座位那一區桌上,
被人抱走大概都不會有人發現。
我的步驟
1.簽呈:說明資料管理在資安面與資管面的重要性,再來說明資料對公司的重要性,以及現有使用方式的風險。先取得建置集中資料的nas、備份主機、磁帶機的經費。
2.在寫簽呈時已統計資料總量,先整理目錄,區分為各部門相關區域與公用區、私人備份區。
3.將資料全部複製到新nas,並開始做重複資料過濾(別想太多經費關係所以是人工)、比對並歸類入相應的部門資料夾。
4.套用權限、公告啟用日期。
5.啟用後確認資料無漏失,強制回收各部門儲存設備,並通知會計部門,各部門"任何"資訊類支出均須有資訊部主管簽名確認。
6.等著被眾人罵。
現在眾人已經習慣新的儲存空間使用及管理方式,
要改變眾人的習慣、
很少能當白臉的,事情可以上正軌比較重要,
如果想不得罪人而做好資訊管理及資安,
除非剛好發生重大事件完,不然應該是不可能的任務,
參考一下吧。
現在正在換一套使用數十年的erp,
比換nas更恐怖,嘿嘿。
用Google Workspace(G Suite)Business,有Google Drive無限空間,可以分部門,Folder設定權限,放到你爽為止...
PS:不過我賣了8年 Google Cloud產品,製造業跟傳產不用的還是不會用,我就講來爽的!
你們就聽聽吧!
強勢IT 就照樓主方式 收繳
跨國公司 你如何去查 有些分公司不但有黑NAS 還有黑網路
內部防火牆設備比對外還多
IT有時做事會捲入權鬥 不是有上方寶劍就能亂砍
我的方法是區分責任 放公司NAS接受IT管制 IT負責檔案安全
黑戶設備 自負生死 發公告
如果有人喜歡幫IT工作 還自負成敗 我是樂觀其成
如果出事就兩手一攤 同請的說:要是放在我這我就幫你找回了
看情況辦事吧~~看IT在公司政策是徧重屬於服務單位還是管理單位?每家公司的情況不同....
在我現在的這家公司,IT角色是以徧重服務為主,所以我會採取樓上Kert大的方式,建好該有的服務並宣傳,我有提供檔案服務喔,檔案放我這裡有保障,無論是中毒或是有人手殘誤刪檔案我都會幫忙找回檔案,你自己搞的就自行負責!
禁新購NAS,然後自建nextcloud之類的私有雲。
然後併用上面kert講的,你放在我這我幫你備份、維護,你不放的話你自己看著辦,出事你負責。
長官給的指令? 你提供技術部分的想法就好,長官同意你的想法,請長官去擺平人的問題.
長官沒下指令? 你別去捅蜂窩,把自己負責的NAS管好就好.
RD的東西基本上是動不了,其他單位則加入AD就可以管控了
你的狀況我也遇過,讓老闆去擺平其他主管,我是做第二方案,但相對的備份和log的方案也要做好,不然容易背鍋,因為很多使用者都亂刪資料。
一開始的反彈大多是因為其他部門怕資料怕被管理單位看光!!
其實後來也證明了這樣的做法,反而減輕了其他單位的負擔,有人維護何樂而不為。
資料儲存需要成本,成本該如何合理支出(保護級別),只有高階主管才能認定(他不簽甚麼都無法做),舉個例子,公司有2個事業部,A事業部營收佔比90%,B事業部營收佔比只有10%,但B事業部資料佔了絕大多數(超過70%),這時候資料儲存解決方案,是不是要為2個事業部量身訂做,因為保護級別或許就大不同。
iThome鐵人賽
看影片追技術