Пролить свет на темную тень, отбрасываемую тенью ИТ.

Опубликовано: 31 Марта, 2023
Пролить свет на темную тень, отбрасываемую тенью ИТ.

Предыдущее исследование, проведенное в моей роли технического журналиста, было отражением проблем, связанных с опережением технического долга. Одним из тревожных сигналов, заслуживающих внимания, была тема мошеннического программного обеспечения. Этот термин относится главным образом к приложениям, которые внедряются без ведома или помощи корпоративного ИТ-отдела. Теневые ИТ — это расширенное использование термина, которое включает не только внедрение программного обеспечения без консультаций с ИТ-отделом, но также может означать использование любых других дополнительных ресурсов с целью реализации технического решения, которое находится за пределами корпоративных ИТ и кибербезопасности. Это может означать внедрение мошеннического программного обеспечения или даже привлечение внешних консультантов для переделки бизнес-процессов, что приводит к изменению данных, загружаемых в утвержденные ИТ-приложениями. Хотите верьте, хотите нет, но даже со всем, что мы знаем, и текущей тенденцией к переходу в облако, теневые ИТ продолжают отбрасывать очень темную тень.

COVID и теневые ИТ: влияние только усилилось

Для каждой темы, каждого предмета и любых отношений, которые рушатся, всегда есть две стороны истории. Будучи частью проблемы и частью решения как для теневых ИТ, так и для плохих отношений, эта статья представляет собой подход с желтым флажком к влиянию теневых ИТ. Это не означает, что на самом деле может быть луч надежды, как определил и задокументировал Рахул Шарма в своей статье от июля 2018 года. Просто во времена COVID и работы на дому как вероятность, так и влияние тень IT только что стала выше. В какой-то исторический момент теневые ИТ могли казаться решением, но сегодня они, похоже, в основном перечислены как риск. Хотя это был абсолютный риск, когда приложения устанавливались на жесткий диск персонального компьютера или внешний диск, теперь у нас есть дополнительный риск того, что оборудование, на котором размещено это мошенническое программное обеспечение, вполне может физически находиться в личном доме. Предприятие не может обеспечить постоянную безопасность компьютеров сотрудников, и уж точно нет способа гарантировать постоянную безопасность домашнего офиса сотрудников. Кроме того, нет никакого способа гарантировать, что пользователи указанного ПК защищены от фишинговых атак. Конфиденциальная корпоративная информация, хранящаяся в мошенническом программном обеспечении на жестком диске персонального компьютера или внешнем диске, никогда не считается лучшей практикой.

В своей статье от января 2019 года под названием «Теневые ИТ стремительно развиваются, как и риски для безопасности» Моник Магальяйс излагает соображения, которые помогут защитить организации, сталкивающиеся с теневыми ИТ. Эта статья по-прежнему очень актуальна для нашей современной технологической культуры. Как и в случае с фармацевтикой, теневые ИТ часто могут быть временным пластырем, который не устраняет и не решает проблему, которую он призван решить. Тем не менее, мы продолжаем жить в тени, поскольку наши заинтересованные стороны все еще могут обосновать логику принятия ими этой практики.

Слишком много администрирования

В то время как организационные процессы созданы для обеспечения соответствия и стандартизации, иногда мы можем переусердствовать с хорошей вещью. Одна из причин, по которой организационные группы часто отказываются следовать правильному каналу, заключается в предположении, что правильный канал потребует слишком много бюрократии. К тому времени, когда все необходимые документы и согласования готовы, импульс теряется, и ресурсы заняты другой работой. Это такие случаи, когда теневые ИТ обычно внедряются как быстрая реакция на проблему, выявленную лишь немногими. Как юридическое лицо, одним из аспектов администрирования, который нам часто требуется перед утверждением бюджета, является экономическое обоснование. Помимо существенной другой информации, экономическое обоснование будет содержать анализ затрат и результатов. Короче говоря, нам нужно убедиться, что инвестиции оправданы, и мы хотим убедиться, что инвестиции соответствуют решению. Возможно, нет смысла инвестировать значительную сумму в доллары для улучшения решения или процесса, которые приносят пользу только нескольким людям. Теневые ИТ-решения часто являются результатом действий небольшого числа заинтересованных сторон, которым нужно решение, не заботящееся о долгосрочных последствиях или общей картине. Часто мошенническое программное обеспечение выявляется только после обновления до, казалось бы, не связанного с ним корпоративного программного решения. Внезапно мошенническое программное обеспечение не дает желаемого результата, и для поиска проблемы вызывается корпоративный ИТ-отдел. Это редко бывает быстрым и грязным решением.

Это занимает слишком много времени

Также бывают случаи, когда заинтересованные стороны не понимают важности процесса или жизненного цикла разработки системы. Идея состоит в том, что к тому времени, когда будет предпринята надлежащая процедура для сбора формальных требований, рассматриваемая система уже может быть внедрена. Важно, чтобы мы информировали наших заинтересованных лиц, чтобы они понимали, почему требования являются таким важным фактором в создании успешных внедрений ИТ. Нам нужно лучше помогать всем на предприятии осознавать последствия отсутствия требований, потерю целостности данных в случае пропуска интеграции и предстоящие затраты предприятия на одно или оба этих действия. Когда мы не уделяем достаточно времени для понимания бизнес-проблемы, мы рискуем внедрить решение, в котором отсутствуют ключевые требования, которые были неизвестны до тех пор, пока решение не было протестировано.

Повышенная эффективность

Руководство не знает и, скорее всего, не должно знать интимных подробностей повседневной работы в слоях предприятия. Мы все стали жертвами руководства, которое не следует этому правилу. Это микроменеджеры, которые присматривают за нашими плечами и неосознанно вызывают высокий уровень стресса. В конечном счете, руководство должно знать, что цели и результаты достигаются. В процессе, если рабочая группа заинтересованных сторон не участвует вместо вклада только руководства, существует вероятность того, что решение может не обеспечить повседневную эффективность. В результате создаются обходные пути, и они очень хорошо попадают в категорию теневых ИТ.

Теневые ИТ — симптом более серьезной проблемы

В Канаде (и, возможно, в Техасе) мы называем их ковбоями. Это технари-изгои, которые безудержно бегают по организации, создавая решения без какой-либо цели. Это создает ложную картину того, что лиц, ответственных за внедрение теневых ИТ, легко идентифицировать. По большей части нам всем нужны инструменты, которые нам нужны для эффективного и результативного выполнения работы. Когда мы оказываемся без необходимых нам инструментов, срабатывает инстинкт, и мы их создаем. Решение простое. Привлекайте нужных заинтересованных лиц к сбору требований, часто тестируйте процессы, чтобы убедиться, что они по-прежнему эффективны для поставленной цели, и используйте уроки, извлеченные из кибербезопасности, чтобы убедиться, что сотрудники осведомлены о причинах организационного процесса.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023