企业必须继续保护自己免受内部威胁。以下将探讨如何通过尽力减少影子IT的影响来保护企业的业务。
了解影子IT
影子IT指的是未经授权使用额外的IT资源,例如软件、硬件、云服务和工具。这些额外的IT资源通常是由非IT或非安全人员安装的,因此面临很大的风险。
影子IT 最初纯粹是出于工作的需要。在通常情况下,大多数企业的结构由五个部门组成。然而,许多规模较小的企业和初创企业被迫创建自治或混合部门。例如,无法负担专门的人力资源部门的企业通过将劳动力管理授权给其他部门和员工来克服这一限制。
由于现代云计算平台和工具的日益成熟和可访问性,这种模式在当今更容易实现。企业现在可以使用许多人工智能驱动的员工资源调配和劳动力管理软件。
影子IT在拥有混合部门或小型IT部门的企业中很常见。然而,影子IT事件也经常发生在员工无人监督的大型企业中。
为什么影子IT是一个问题?
随着工作场所的技术创新对于企业获利变得至关重要,精通技术的员工开始寻找解决方案,以克服具体的业务问题。
这将让他们跟上现代办公的变化,促使他们寻找和采用现代科技工具。毕竟,互联网总是充斥着廉价的软件和网络解决方案,从价格合理的域名和托管解决方案到更加灵活的企业应用程序。
然而, 对更强大的商业智能(BI)的渴望诞生了大量的统计分析系统(SAS)的软件和硬件解决方案。
一些工具的开发人员和供应商很快意识到,他们可以通过出售客户的数据来获得额外的收入。因此,尽管市场上充斥着各种可供企业选择的软件,但并非所有软件都是安全的。即使有GDPR法规这样的数据保护条例,软件供应商仍然可以收集和出售客户的数据,只要他们通过其条款和条件获得客户的同意。
数据被出售并不是影子IT的唯一风险,未检测的软件也可能携带漏洞和恶意软件。
许多免费软件通过为其他付费软件和服务做广告来获利,他们通常使用安装过程中出现的弹出窗口或向导屏幕来推广该软件。
这些应用程序利用了人们不愿阅读具有大量专业术语的服务条款的习惯。调研机构德勤公司在2017年的一项调查中进一步凸显了这一事实,调查发现,只有9%的用户在接受服务条款前阅读了条款。
这使得员工可以很容易地下载那些可能会使其企业处于危险中的软件。虽然不需要安装SaaS工具,但它们也不是完全安全的。登录屏幕和表单可能被用于现代网络钓鱼。
解决业务中的影子IT问题
虽然影子IT可能是IT和全球安全团队的隐患,但它确实有一些优点。而这些优点就是影子IT仍然得以盛行的原因,也是许多企业对它放任不管的原因。那么,影子IT具有哪些优点和缺点?
(1)影子IT的优点
- 可以创造生产力。
- 影子IT可以让员工为企业创新和创造新的工作流程。
- 它可以帮助识别当前IT环境中的弱点。
- 影子可以允许简化软件实现流程。
- 它允许企业灵活部署应用程序。
(2)影子IT的缺点
- 它会让企业面临数据泄露和安全漏洞的风险。
- 如果企业试图实施严格的隐性IT限制,可能会破坏部门之间的关系。
- 影子IT也可能导致一些许可软件供应商的合规性问题。
避免影子IT引起的问题
希望管理和减轻影子IT负面影响的企业必须首先执行内部审计。云安全应用程序(例如微软公司的云应用程序)可以安全检测未经批准的应用程序和数据的使用。
但检测影子IT只是其中的一部分。企业应该努力解决问题的根源。这可能包括优化部门之间的沟通——特别是IT团队和其他部门之间的沟通。如果一个部门发现一个软件解决方案可能是有益的,他们应该愿意与IT团队分享。
首席信息官和IT员工应该制定使他们能够简化软件评估和采购的流程。他们应该能够给出非IT员工建议的特定工具不可行的充分理由。此外,如果IT人员拒绝采用推荐的工具,建议他们寻求更好的替代方案。
企业应考虑培训非IT员工的网络安全知识和意识,并且应该提醒员工,安全优先于生产力和创新,尤其是在这种环境下。
结论
企业的IT和网络安全部门可能需要很长时间才能找到适合的软件并获得许可。随着IT的消费化,下载应用程序要快捷得多。这就是影子IT对许多员工如此有吸引力的原因,因为员工通常寻求快速实施的解决方案。
不幸的是,这也让恶意人员或网络攻击者利用。统计分析系统应用程序之所以成为如此受欢迎的目标,是因为它们可以生成大量有利可图的数据,供不法分子出售。因此,企业需要对所有与业务和员工相关的软件进行彻底审查,并对安全性采取零信任方法,这一点非常重要。
