授予非IT員工不受限制的自主權(quán)和對IT資源的完全訪問權(quán)會帶來極端的負面影響。本文探討了如何通過盡力減少影子IT的影響來保護企業(yè)的業(yè)務。

自我鼓勵和主動積極是優(yōu)秀員工的特質(zhì)。每個員工都應該尋找提高效率的方法，同時讓工作變得更輕松。然而，正如法國作家Albert Camus所指出的那樣：“……如果不是啟蒙，善意和惡意造成的傷害一樣多。”

授予非IT員工不受限制的自主權(quán)和對IT資源的完全訪問權(quán)會帶來極端的負面影響。雖然員工的意圖可能是善意的，但安裝未經(jīng)授權(quán)的軟件或使用未經(jīng)驗證的設備可能會導致難以操作的影子IT。

企業(yè)必須繼續(xù)保護自己免受內(nèi)部威脅。以下將探討如何通過盡力減少影子IT的影響來保護企業(yè)的業(yè)務。

了解影子IT

影子IT指的是未經(jīng)授權(quán)使用額外的IT資源，例如軟件、硬件、云服務和工具。這些額外的IT資源通常是由非IT或非安全人員安裝的，因此面臨很大的風險。

影子IT?最初純粹是出于工作的需要。在通常情況下，大多數(shù)企業(yè)的結(jié)構(gòu)由五個部門組成。然而，許多規(guī)模較小的企業(yè)和初創(chuàng)企業(yè)被迫創(chuàng)建自治或混合部門。例如，無法負擔專門的人力資源部門的企業(yè)通過將勞動力管理授權(quán)給其他部門和員工來克服這一限制。

由于現(xiàn)代云計算平臺和工具的日益成熟和可訪問性，這種模式在當今更容易實現(xiàn)。企業(yè)現(xiàn)在可以使用許多人工智能驅(qū)動的員工資源調(diào)配和勞動力管理軟件。

影子IT在擁有混合部門或小型IT部門的企業(yè)中很常見。然而，影子IT事件也經(jīng)常發(fā)生在員工無人監(jiān)督的大型企業(yè)中。

為什么影子IT是一個問題?

隨著工作場所的技術(shù)創(chuàng)新對于企業(yè)獲利變得至關(guān)重要，精通技術(shù)的員工開始尋找解決方案，以克服具體的業(yè)務問題。

這將讓他們跟上現(xiàn)代辦公的變化，促使他們尋找和采用現(xiàn)代科技工具。畢竟，互聯(lián)網(wǎng)總是充斥著廉價的軟件和網(wǎng)絡解決方案，從價格合理的域名和托管解決方案到更加靈活的企業(yè)應用程序。

然而,?對更強大的商業(yè)智能(BI)的渴望誕生了大量的統(tǒng)計分析系統(tǒng)(SAS)的軟件和硬件解決方案。

一些工具的開發(fā)人員和供應商很快意識到，他們可以通過出售客戶的數(shù)據(jù)來獲得額外的收入。因此，盡管市場上充斥著各種可供企業(yè)選擇的軟件，但并非所有軟件都是安全的。即使有GDPR法規(guī)這樣的數(shù)據(jù)保護條例，軟件供應商仍然可以收集和出售客戶的數(shù)據(jù)，只要他們通過其條款和條件獲得客戶的同意。

數(shù)據(jù)被出售并不是影子IT的唯一風險，未檢測的軟件也可能攜帶漏洞和惡意軟件。

許多免費軟件通過為其他付費軟件和服務做廣告來獲利，他們通常使用安裝過程中出現(xiàn)的彈出窗口或向?qū)聊粊硗茝V該軟件。

這些應用程序利用了人們不愿閱讀具有大量專業(yè)術(shù)語的服務條款的習慣。調(diào)研機構(gòu)德勤公司在2017年的一項調(diào)查中進一步凸顯了這一事實，調(diào)查發(fā)現(xiàn)，只有9%的用戶在接受服務條款前閱讀了條款。

這使得員工可以很容易地下載那些可能會使其企業(yè)處于危險中的軟件。雖然不需要安裝SaaS工具，但它們也不是完全安全的。登錄屏幕和表單可能被用于現(xiàn)代網(wǎng)絡釣魚。

解決業(yè)務中的影子IT問題

雖然影子IT可能是IT和全球安全團隊的隱患，但它確實有一些優(yōu)點。而這些優(yōu)點就是影子IT仍然得以盛行的原因，也是許多企業(yè)對它放任不管的原因。那么，影子IT具有哪些優(yōu)點和缺點?

(1)影子IT的優(yōu)點

可以創(chuàng)造生產(chǎn)力。

影子IT可以讓員工為企業(yè)創(chuàng)新和創(chuàng)造新的工作流程。

它可以幫助識別當前IT環(huán)境中的弱點。

影子可以允許簡化軟件實現(xiàn)流程。

它允許企業(yè)靈活部署應用程序。

(2)影子IT的缺點

它會讓企業(yè)面臨數(shù)據(jù)泄露和安全漏洞的風險。

如果企業(yè)試圖實施嚴格的隱性IT限制，可能會破壞部門之間的關(guān)系。

影子IT也可能導致一些許可軟件供應商的合規(guī)性問題。

避免影子IT引起的問題

希望管理和減輕影子IT負面影響的企業(yè)必須首先執(zhí)行內(nèi)部審計。云安全應用程序(例如微軟公司的云應用程序)可以安全檢測未經(jīng)批準的應用程序和數(shù)據(jù)的使用。

但檢測影子IT只是其中的一部分。企業(yè)應該努力解決問題的根源。這可能包括優(yōu)化部門之間的溝通——特別是IT團隊和其他部門之間的溝通。如果一個部門發(fā)現(xiàn)一個軟件解決方案可能是有益的，他們應該愿意與IT團隊分享。

首席信息官和IT員工應該制定使他們能夠簡化軟件評估和采購的流程。他們應該能夠給出非IT員工建議的特定工具不可行的充分理由。此外，如果IT人員拒絕采用推薦的工具，建議他們尋求更好的替代方案。

企業(yè)應考慮培訓非IT員工的網(wǎng)絡安全知識和意識，并且應該提醒員工，安全優(yōu)先于生產(chǎn)力和創(chuàng)新，尤其是在這種環(huán)境下。

結(jié)論

企業(yè)的IT和網(wǎng)絡安全部門可能需要很長時間才能找到適合的軟件并獲得許可。隨著IT的消費化，下載應用程序要快捷得多。這就是影子IT對許多員工如此有吸引力的原因，因為員工通常尋求快速實施的解決方案。

不幸的是，這也讓惡意人員或網(wǎng)絡攻擊者利用。統(tǒng)計分析系統(tǒng)應用程序之所以成為如此受歡迎的目標，是因為它們可以生成大量有利可圖的數(shù)據(jù)，供不法分子出售。因此，企業(yè)需要對所有與業(yè)務和員工相關(guān)的軟件進行徹底審查，并對安全性采取零信任方法，這一點非常重要。