授予非IT員工不受限制的自主權和對IT資源的完全訪問權會帶來極端的負面影響。雖然員工的意圖可能是善意的,但安裝未經授權的軟件或使用未經驗證的設備可能會導致難以操作的影子IT。
企業(yè)必須繼續(xù)保護自己免受內部威脅。以下將探討如何通過盡力減少影子IT的影響來保護企業(yè)的業(yè)務。
了解影子IT
影子IT指的是未經授權使用額外的IT資源,例如軟件、硬件、云服務和工具。這些額外的IT資源通常是由非IT或非安全人員安裝的,因此面臨很大的風險。
影子IT 最初純粹是出于工作的需要。在通常情況下,大多數(shù)企業(yè)的結構由五個部門組成。然而,許多規(guī)模較小的企業(yè)和初創(chuàng)企業(yè)被迫創(chuàng)建自治或混合部門。例如,無法負擔專門的人力資源部門的企業(yè)通過將勞動力管理授權給其他部門和員工來克服這一限制。
由于現(xiàn)代云計算平臺和工具的日益成熟和可訪問性,這種模式在當今更容易實現(xiàn)。企業(yè)現(xiàn)在可以使用許多人工智能驅動的員工資源調配和勞動力管理軟件。
影子IT在擁有混合部門或小型IT部門的企業(yè)中很常見。然而,影子IT事件也經常發(fā)生在員工無人監(jiān)督的大型企業(yè)中。
為什么影子IT是一個問題?
隨著工作場所的技術創(chuàng)新對于企業(yè)獲利變得至關重要,精通技術的員工開始尋找解決方案,以克服具體的業(yè)務問題。
這將讓他們跟上現(xiàn)代辦公的變化,促使他們尋找和采用現(xiàn)代科技工具。畢竟,互聯(lián)網總是充斥著廉價的軟件和網絡解決方案,從價格合理的域名和托管解決方案到更加靈活的企業(yè)應用程序。
然而, 對更強大的商業(yè)智能(BI)的渴望誕生了大量的統(tǒng)計分析系統(tǒng)(SAS)的軟件和硬件解決方案。
一些工具的開發(fā)人員和供應商很快意識到,他們可以通過出售客戶的數(shù)據(jù)來獲得額外的收入。因此,盡管市場上充斥著各種可供企業(yè)選擇的軟件,但并非所有軟件都是安全的。即使有GDPR法規(guī)這樣的數(shù)據(jù)保護條例,軟件供應商仍然可以收集和出售客戶的數(shù)據(jù),只要他們通過其條款和條件獲得客戶的同意。
數(shù)據(jù)被出售并不是影子IT的唯一風險,未檢測的軟件也可能攜帶漏洞和惡意軟件。
許多免費軟件通過為其他付費軟件和服務做廣告來獲利,他們通常使用安裝過程中出現(xiàn)的彈出窗口或向導屏幕來推廣該軟件。
這些應用程序利用了人們不愿閱讀具有大量專業(yè)術語的服務條款的習慣。調研機構德勤公司在2017年的一項調查中進一步凸顯了這一事實,調查發(fā)現(xiàn),只有9%的用戶在接受服務條款前閱讀了條款。
這使得員工可以很容易地下載那些可能會使其企業(yè)處于危險中的軟件。雖然不需要安裝SaaS工具,但它們也不是完全安全的。登錄屏幕和表單可能被用于現(xiàn)代網絡釣魚。
解決業(yè)務中的影子IT問題
雖然影子IT可能是IT和全球安全團隊的隱患,但它確實有一些優(yōu)點。而這些優(yōu)點就是影子IT仍然得以盛行的原因,也是許多企業(yè)對它放任不管的原因。那么,影子IT具有哪些優(yōu)點和缺點?
(1)影子IT的優(yōu)點
•可以創(chuàng)造生產力。
•影子IT可以讓員工為企業(yè)創(chuàng)新和創(chuàng)造新的工作流程。
•它可以幫助識別當前IT環(huán)境中的弱點。
•影子可以允許簡化軟件實現(xiàn)流程。
•它允許企業(yè)靈活部署應用程序。
(2)影子IT的缺點
•它會讓企業(yè)面臨數(shù)據(jù)泄露和安全漏洞的風險。
•如果企業(yè)試圖實施嚴格的隱性IT限制,可能會破壞部門之間的關系。
•影子IT也可能導致一些許可軟件供應商的合規(guī)性問題。
避免影子IT引起的問題
希望管理和減輕影子IT負面影響的企業(yè)必須首先執(zhí)行內部審計。云安全應用程序(例如微軟公司的云應用程序)可以安全檢測未經批準的應用程序和數(shù)據(jù)的使用。
但檢測影子IT只是其中的一部分。企業(yè)應該努力解決問題的根源。這可能包括優(yōu)化部門之間的溝通——特別是IT團隊和其他部門之間的溝通。如果一個部門發(fā)現(xiàn)一個軟件解決方案可能是有益的,他們應該愿意與IT團隊分享。
首席信息官和IT員工應該制定使他們能夠簡化軟件評估和采購的流程。他們應該能夠給出非IT員工建議的特定工具不可行的充分理由。此外,如果IT人員拒絕采用推薦的工具,建議他們尋求更好的替代方案。
企業(yè)應考慮培訓非IT員工的網絡安全知識和意識,并且應該提醒員工,安全優(yōu)先于生產力和創(chuàng)新,尤其是在這種環(huán)境下。
結論
企業(yè)的IT和網絡安全部門可能需要很長時間才能找到適合的軟件并獲得許可。隨著IT的消費化,下載應用程序要快捷得多。這就是影子IT對許多員工如此有吸引力的原因,因為員工通常尋求快速實施的解決方案。
不幸的是,這也讓惡意人員或網絡攻擊者利用。統(tǒng)計分析系統(tǒng)應用程序之所以成為如此受歡迎的目標,是因為它們可以生成大量有利可圖的數(shù)據(jù),供不法分子出售。因此,企業(yè)需要對所有與業(yè)務和員工相關的軟件進行徹底審查,并對安全性采取零信任方法,這一點非常重要。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號