Чек-лист: Что важно знать о теневых ИТ
Довольно часто часть приложений и платформ ускользают из поля зрения ИТ-службы компании. Решение об их использовании принимают бизнес-подразделения или отдельные сотрудники, поэтому они не попадают под централизованное управление. Чем грозят «теневые ИТ» (shadow IT), рассказывает Людмила Севастьянова, менеджер по продвижению Solar inRights компании «Ростелеком-Солар».
Содержание |
Когда часть ИТ-инфраструктуры уходит в тень
Существует несколько причин появления «теневых» приложений:
Сложность получения необходимых полномочий и прав в контуре официальных ИТ
Это бывает вызвано: отсутствием четко разработанной ролевой модели, которая бы покрыла все потребности бизнес-пользователя; слишком сложным механизмом оформления заявок для доступа к тем или иным системам.
Сотрудники вынуждены долго убеждать руководство или ИТ-департамент в необходимости использования определенных инструментов, иногда месяцами ждать официальной закупки софта и получения к нему доступа. Неудивительно, что у некоторых появляется соблазн установить себе отдельное приложение, которое будет решать актуальную для них задачу. При этом потенциальные риски такого решения отходят на второй план, так как для бизнеса более ценна скорость, считающаяся главным конкурентным преимуществом.
Людмила Севастьянова, менеджер по продвижению Solar inRights компании «Ростелеком-Солар»
|
Использование сотрудниками личных устройств для доступа к корпоративным ресурсам
Это стало особенно актуально в период «удаленки» и приводит к тому, что: работники обмениваются информацией в социальных сетях, отправляют документы не на корпоративные почтовые ящики, используют услуги бесплатных сервисов видеоконференцсвязи; персонал компании не уделяет должного внимания ИТ-безопасности: пользователи создают на персональных устройствах учетные записи, которые не настраиваются должным образом, например, сохраняются в веб-браузерах или совпадают с паролями к корпоративным ресурсам.
Если пользователи не могут получить своевременный доступ к необходимой им для работы информации в нужном качестве или лишены инструментов быстрой связи, то это неизбежно приведет к возникновению «теневых» ИТ. Зачастую специалисты, отвечающие за эксплуатацию и безопасность ИТ-инфраструктуры даже не знают о широте их использования и о влиянии на риски безопасности, – поясняет Людмила Севастьянова. |
Какие риски возникают при использовании теневых ИТ
Потенциальные угрозы могут иметь серьезные последствия, вплоть до утраты конфиденциальных данных и компрометации бизнеса. Это происходит, потому что: софт, установленный в обход ИТ-службы, может иметь уязвимости, которые используются злоумышленниками: теневые ИТ открывают доступ во внутренний контур компании, в том числе – к чувствительной информации, что провоцирует риски утечки и кражи конфиденциальных данных; ошибки не исправляются: ведь за регулярностью обновления таких приложений и систем никто не следит; теневые ИТ выпадают из аудитов службы безопасности; приложения не включены в общие политики по управлению доступом в компании.
Нередки случаи, когда внешние сотрудники помимо доступа во внутренний ИТ-контур компании, имеют доступ к различным облачным или веб-приложениям. И если по окончании договора с аутсорсерами и подрядчиками разрешение не было вовремя отозвано (их нет в кадровой базе компании и о них часто забывают), то они могут сохранять возможность обращаться к ним и нанести вред компании, – предостерегает Людмила Севастьянова. |
Как предотвратить использование «теневых» ИТ
Ключевым принципом защиты данных компании является понимание, где и какая информация хранится, как используется, кто получает к ней доступ и в каком объеме.
Компания может существенно снизить риски появления в ИТ-контуре компании теневых инструментов, если будет: внедрять автоматизированные технологии для выявления всех используемых сотрудниками систем; интересоваться у сотрудников, какие приложения они хотят использовать и почему: эта обратная связь поможет ИТ-команде подобрать для этих целей оптимальный инструмент, одновременно закрывающий потребности бизнеса и соответствующий принятым в компании политикам безопасности; использовать программные продукты по автоматизации и централизованному управлению доступом класса IdM/IGA, они позволят: выстроить ролевую модель, которая будет работать на деле, а не на бумаге; обеспечивать быстрое получение необходимых прав и полномочий, требуемых для работы; проводить регулярные аудиты и получать своевременную отчетность, выявляя серые зоны в правах пользователей и актуализируя параметры доступа; повышать осведомленность работников с помощью регулярных тренингов.
Разъяснительная работа должна также стать неотъемлемой частью стратегии безопасности компании. Ее цель создать в компании безрисковую культуру и повысить ответственность каждого. Сотрудник должен знать, как распознать угрозу кибербезопасности, куда обратиться в подозрительных ситуациях. Необходимо приводить примеры ситуаций, которые привели к потерям в других компаниях, чтобы доказать: использование различных платформ и приложений по своему желанию может привести к необратимым последствиям,– считает Людмила Севастьянова. |