Теневых ИТ, под которыми понимаются программное обеспечение и сервисы, используемые сотрудниками втихаря, без получения от организации соответствующего разрешения, пугаться не стоит.
На протяжении нескольких десятилетий ИТ-руководители искали способы надежно выявлять и блокировать теневые технологии, понимая, что недозволенные инструменты несут в себе угрозу безопасности и порождают уязвимости в технологических процессах.
Однако в последнее время все больше становится ИТ-лидеров, которые по-иному смотрят на теневые ИТ. К ним приходит осознание того, что изучение тайных практик помогает лучше понять потребности и предпочтения конечных пользователей. А это, в свою очередь, ведет к разработке и развертыванию авторизованного программного обеспечения и сервисов, повышающих производительность труда и удовлетворенность сотрудников.
1. Поймите причины использования теневых ИТ-инструментов
Фактически любая навязываемая корпоративная система замедляет процессы или создает препятствия для круглосуточного и повсеместного доступа сотрудников к необходимым им ресурсам.
Многие сотрудники хорошо подкованы технически и охотно применяют устройства, программное обеспечение и приложения, помогающие им выполнять свою работу быстрее и лучше.
Леон Адато, возглавляющий в компании SolarWinds группу ПО управления инфраструктурой, поддерживает тех сотрудников, кто использует одну-две теневые ИТ, чтобы повысить эффективность и продуктивность своей работы. «Никто не пытается вмешиваться в отлаженный процесс, если он отвечает потребностям коллектива», – указал он. Но если эти процессы замедляют или усложняют работу, то отдельные сотрудники или даже целые команды начинают искать другие пути.
2. Изучите направления использования теневых ИТ-инструментов
Узнать, зачем используются теневые ИТ, проще всего путем обсуждения их ценности и конкретных задач, решаемых с их помощью. «Во многом это напоминает мероприятия по оценке новых технологий, проводимые нашими ИТ?подразделениями», – пояснил руководитель направления разработки облачной стратегии компании Netskope Шон Кордеро.
Ярким примером теневых ИТ являются тайно используемые публичные облачные сервисы. Зачастую сотрудники делятся своими файлами, открывают многопользовательский доступ к документам или просто размещают важные файлы в хранилищах Dropbox и Google Docs. Несмотря на то что эти платформы просты в освоении и уже получили повсеместное распространение, они подвергают риску важные данные. Корпоративные облачные платформы обеспечивают более надежную безопасность и контроль, включая шифрование файлов, благодаря которому доступ к ним могут получить только уполномоченные лица. В крупных организациях принято внедрять свои собственные платформы для безопасного обмена файлами или применять адаптированные продукты.
3. Выясните, создают ли теневые технологии угрозу для безопасности
«Первым делом нужно выявить теневые ИТ, имеющиеся в организации, – рекомендует руководитель консультационных служб компании Grant Thornton Рой Николсон. –?Один из способов – это мониторинг исходящего сетевого трафика с учетом того, что значительная доля теневых ИТ обычно включает ПО или инфраструктуру, предоставляемую в качестве сервиса. Проанализировав полученные результаты, можно приступать к оценке безопасности».
«Безопасность теневых ИТ следует оценивать точно так же, как и безопасность других типов программного обеспечения и сервисов, – советует руководитель Juniper Threat Labs Мунир Хабад. – Теневые ИТ не требуют каких-то других процедур оценки. Необходимо лишь выявить все риски, чтобы потом их можно было отследить и смягчить».
Неизвестные пользователи и устройства в корпоративной сети могут порождать бреши в системе безопасности и увеличивать риски. Эффективным методом обнаружения теневых ИТ являются системы контроля за доступом к сети, предоставляющие в реальном времени информацию о каждом человеке, системе или устройстве, подключенных к корпоративной инфраструктуре.?Инструменты анализа поведения пользователей и объектов (user and entity behavior analytics, UEBA) помогают обнаружить скрытые киберугрозы, преодолевающие периметр защиты, и предотвращать наносимый ими ущерб.
4. Определите потенциальную ценность теневых ИТ, используемых в качестве производственных инструментов
Ценность теневых инструментов проще всего определить в ходе обсуждения технологий с пользователями. «Ваши сотрудники знают, как можно сделать компанию более эффективной и повысить производительность труда, лучше, чем любой поставщик, торговый представитель и специалист по безопасности или инфраструктуре, – заметил независимый архитектор систем безопасности Питер Ванльперен. – Относитесь к сотрудникам так же, как вы относитесь к клиентам и потребителям, предоставляйте им хорошие инструменты для работы, и они будут демонстрировать прекрасные результаты без всяких теневых технологий. Если сотрудники используют теневые инструменты, значит, у них есть на это весомые причины. Постарайтесь выяснить, почему пользователи обращаются к теневым технологиям и чего им не хватает. Лучше всего провести опрос, посвященный потенциальным новым инструментам, и дать людям возможность выбрать различные варианты. Избегайте слишком сложных инструментов».
5. Разработайте совместно с поставщиками теневых ИТ корпоративные версии инструментов
Если ИТ-служба выявила серьезные причины для преобразования теневых ИТ в одобренный инструмент для бизнеса, организации следует начать с их разработчиками переговоры. У многих поставщиков ПО есть разные версии их продуктов, и они готовы сотрудничать с организациями, чтобы адаптировать свои инструменты к их нуждам.
6. Внедрите технологии с сохранением изначальных преимуществ теневых версий
После принятия решения о возможности официального внедрения ИТ-служба должна озаботиться приведением теневой технологии к полностью приемлемому и безопасному состоянию. «Убедитесь в том, что базовые сценарии использования выполняются, – заметил Ванльперен. – Если желаемый инструмент не работает должным образом, то количество теневых ИТ увеличится».
Скорейший способ взять теневой инструмент под контроль ИТ-службы, обеспечить безопасность, сохранив при этом его первоначальную полезность, заключается в организации переговоров с поставщиком. Необходимо разъяснить ему специфические потребности организации, а затем, проведя тесты и экспериментальное развертывание, проверить, выполнил ли поставщик свои обещания. Важно понимать также, что существуют теневые ИТ, для которых никогда не будут выпущены корпоративные версии.
7. Будьте бдительны
ИТ-служба должна внимательно следить за новыми теневыми технологиями, которые пускаются в ход, как только сотрудники приносят с собой соответствующие инструменты. С другой стороны, организация, выявившая ряд успешно внедренных теневых ИТ, должна понимать, что возможностей ее ИТ-службы в части быстрого и эффективного развертывания надежных решений явно недостаточно.
И наконец, ИТ-службе не следует одобрять сомнительные теневые инструменты только потому, что они отвечают потребностям работника. В случае возникновения бреши в системе безопасности и достаточно долгого простоя ответственность за инцидент ляжет на ИТ-директора или технического директора. ИТ-служба должна обеспечить соответствие используемых теневых ИТ корпоративным стандартам.
– John Edwards. 7 ways to embrace shadow IT and win. CIO. MAY 3, 2018