Пытаться полностью заблокировать онлайн-сервисы нецелесообразно: они помогают сотрудникам творчески подходить к выполнению рабочих задач |
Но, похоже, что и сами ИТ-специалисты нередко работают «в тени», если судить по результатам опроса The Hidden Truth behind Shadow IT, проведенного компаниями Frost & Sullivan и McAfee. В ходе анкетирования 300 ИТ-специалистов и 300 работников других специальностей ответили на вопрос, пользуются ли они на работе онлайн-сервисами без официального разрешения. Положительный ответ дали 80%; только 19% сотрудников бизнес-подразделений и 17% сотрудников ИТ-департаментов заявили о своей «невиновности».
Проблема «теневых ИТ» стала более актуальной с расширением применения облачных приложений, которыми можно легко и недорого воспользоваться так, что в ИТ-департаменте об этом не узнают, — в обход процесса проверки SaaS на соответствие корпоративным политикам безопасности.
«В ИТ-департаментах лишь опускают руки, жалуясь, что не имеют возможности воспрепятствовать этому», — отмечает Дженнифер Гейслер, старший директор подразделения McAfee по сетевой безопасности.
Что касается самих ИТ-специалистов, 42% из них признались, что прибегают к «теневым» сервисам, так как они им «знакомы» и «привычны». Треть, как и бизнес-менеджеры, пожаловались, что процесс получения разрешения на внедрение новых приложений слишком медленный или сложный. Четверть заявили, что неодобренное ПО лучше отвечает их потребностям, чем аналог, утвержденный ИТ-департаментом.
В число предпочитаемых респондентами видов неодобренных приложений SaaS вошли офисные пакеты, социальные сети, файлообменные сервисы, а также сервисы хранения и резервного копирования. Среди самых популярных из числа несанкционированных — Microsoft Office 365, Google Apps, LinkedIn, Facebook, Dropbox и Apple iCloud. Многие признались, что планируют увеличить объем несанкционированного использования онлайн-сервисов, в том числе для таких задач, как хранение данных ERP, а также документов бухгалтерских и юридических служб.
В докладе, подготовленном по результатам опроса, отмечается, что служащие прекрасно осознают риски и свою ответственность за нарушения.
Почти половина беспокоятся в связи с опасностью раскрытия и хищения данных либо боятся лишиться возможности получить информацию из облачного приложения. Среди опрошенных 22% признали, что уже имели дело с каким-либо инцидентом безопасности, связанным с социальными сетями, а 16% сообщили о таких инцидентах в связи с сервисами обмена файлами, резервного копирования или хранения.
«Но несмотря на подобные инциденты и осознание рисков, больше 80%, похоже, считают оправданным продолжать пользоваться несанкционированными сервисами без соблюдения политик безопасности», — говорится в докладе.
Что же делать с «теневыми ИТ», если учесть, что к возникновению проблемы наряду с остальными причастны сами же сотрудники ИТ-отделов?
По мнению Гейслер, первый шаг — ужесточить контроль за исполнением политик безопасности и соблюдением нормативных актов при использовании SaaS; директору по информационной безопасности стоит сделать решение этой задачи приоритетом. Можно также воспользоваться техническими средствами мониторинга применения SaaS, но пытаться полностью заблокировать приложения в виде сервиса вряд ли целесообразно. Онлайн-сервисы помогают людям творчески подходить к выполнению своих рабочих задач, особенно молодым сотрудникам, полагают авторы доклада. Но руководители, ответственные за безопасность ИТ, должны внедрить для SaaS надежные средства управления паролями, идентификацией и доступом, а также шифрования и предотвращения потери данных. Поскольку ИТ-специалисты признаются, что сами являются источником проблемы «теневых ИТ», они уже не могут перекладывать вину на остальных, полагает Гейслер.