Теневые ИТ стремительно развиваются, как и риски безопасности
Установка и использование связанных с ИТ облачных сервисов, оборудования или программного обеспечения без ведома ИТ-отдела или отдела безопасности организации — вот что мы понимаем под определением теневой ИТ.
Большинство пользователей и сотрудников в настоящее время вполне знакомы с технологиями, а потребительство ИТ широко распространено во всех организациях. Это привело к быстрому и более широкому внедрению преимущественно облачных сервисов. Кроме того, пользователи не задумываются, прежде чем загружать, устанавливать и использовать облачные приложения и службы в рабочих целях без предварительного разрешения или ведома ИТ-отдела. Принесите свое собственное устройство (BYOD) поощряет использование теневых ИТ — и это не только использование собственного устройства, но и перенос собственных приложений на рабочее место, что может вызвать проблемы!
Рост теневых ИТ влияет на видимость и контроль организаций, что может негативно сказаться на безопасности. Это распространяется и на данные организаций, поскольку сотрудники обрабатывают и хранят данные компании в неутвержденных облачных сервисах, не задумываясь. Это означает, что последствия могут распространяться и на обязательства по защите данных.
Теневые ИТ встроены в бизнес, поэтому организациям нужен способ поощрения безопасной практики и преобразования негативных коннотаций теневых ИТ в позитивные.
Кибератаки продолжают расти, и вполне реально ожидать, что теневые ИТ-практики будут способствовать возникновению некоторых из этих проблем. Было даже высказано предположение, что треть успешных атак, с которыми сталкиваются организации, происходит из-за их теневой ИТ-практики.
В конечном счете, ИТ-отдел по-прежнему берет на себя основную часть ответственности за безопасность организации, однако, если пользователи устанавливают технологии бессистемно и без должного внимания к безопасности, и это неуправляемо, обеспечить эффективную безопасность организации сложно.
Рекомендации по обеспечению безопасности организаций при использовании теневых ИТ
Должен быть способ обеспечить централизованное администрирование и управление услугами, введенными в организацию, по соображениям безопасности, чтобы бизнес мог учитывать все свои технологические активы и данные. Кроме того, чтобы избежать неэффективности разрастания приложений, ненужных денежных затрат, потери времени, а также осложнений при совместной работе.
Активно работать и сотрудничать с отделами
Чтобы сократить использование теневых ИТ, компании должны понимать проблемы, с которыми сталкиваются отдельные отделы и пользователи при выполнении своей работы, и то, что необходимо для повышения производительности. Кроме того, понимание того, почему пользователи выбирают те ресурсы, которые они используют, поможет ИТ-отделам предлагать более подходящие решения. Пользователи хотят быть продуктивными, и иногда ИТ-отделы должны предлагать больший выбор и гибкость, а не просто отказываться от всего, чего нет в вашем ИТ-плане. Если пользователи не смогут найти нужные им решения, у них возникнет соблазн приобрести их с помощью теневых ИТ.
Чтобы избежать головной боли, создаваемой теневыми ИТ, сделайте приоритетным решение проблемы с пользователями на регулярной (например, ежеквартальной) основе. Встретьтесь с пользователями и выслушайте их мнение о проблемах, с которыми они сталкиваются, и о технологиях, которые, по их мнению, могут решить их проблемы. Спрашивая, какие технологии предпочтительны, и обсуждая это открыто и совместно, пользователи будут чувствовать, что они имеют право голоса в отношении услуг, которые они используют, и можно избежать несанкционированного подхода.
ИТ-отдел должен поощрять лучшую культуру обслуживания, и, если ИТ-бюджет ограничен, соответствующий отдел может финансировать его, но это не произойдет без ИТ-отдела, знающего, что происходит, чтобы контроль оставался на месте. Это беспроигрышный вариант!
Правильное управление технологическими активами
Одной из основных проблем быстрого внедрения теневых ИТ является потеря контроля над технологическими активами и невозможность отслеживать технологии для обеспечения безопасности, а также защиты данных и соблюдения нормативных обязательств.
Большая часть соответствия требованиям — это возможность должным образом управлять технологическими активами и активами данных. Крайне важно в любой момент времени знать, какие технологии используются и где обрабатываются данные. Теневые ИТ могут усложнить эту задачу.
Должна существовать система для отслеживания и мониторинга внедряемых технологий. Тем более, что пользователи регулярно устанавливают и используют программные приложения и службы без привлечения соответствующих людей или отделов.
Программное обеспечение для автоматизированного обнаружения может помочь в этом. Продукты можно использовать для обнаружения любых новых технологий, которые могут быть зарегистрированы и исследованы. Рекомендуется регулярно пересматривать и вести инвентаризацию технологических активов.
Кроме того, создание всеобъемлющего предварительно утвержденного каталога ИТ-услуг и ресурсов, которые могут быть выбраны пользователями для немедленного использования, может помочь избежать эффекта узкого места, возникающего, когда пользователям необходимо дождаться утверждения ресурса. Кроме того, работая совместно с пользователями, ИТ-отдел может стремиться поддерживать каталог с подходящими и соответствующими услугами в соответствии с требованиями отделов.
Нулевое доверие и проверка
Модель нулевого доверия предполагает, что в сети существуют угрозы, в то время как традиционные модели безопасности предполагают, что все, что находится внутри, не представляет опасности и фокусируется в основном на защите периметра. При нулевом доверии организации не доверяют автоматически, а вместо этого проверяют все, что пытается подключиться к их системам. Пользователи и устройства должны быть проверены и аутентифицированы, даже те, которые существуют в сети. Доступ запрещен до тех пор, пока не будут выполнены проверка и авторизация. Этот процесс обеспечивает лучшее понимание и понимание действий пользователей, а для контроля доступа можно применять политики.
Как правило, в организациях имеется структура, определяющая, как новые ИТ-ресурсы внедряются в среду. Существуют строгие процедуры тестирования, гарантирующие, что ресурсы безопасны и надежны в использовании, а также что они не будут создавать пробелы в безопасности или уязвимости в корпоративной среде, если они установлены и используются. Когда пользователи обходят это с помощью теневых ИТ, они рискуют потенциальными угрозами, атаками и компрометацией организации и ее данных.
Внедряя сети с нулевым доверием, пользователи вынуждены соблюдать корпоративные правила безопасности. Правила устанавливаются по мере необходимости и соблюдаются. Любые аномалии в системе будут устранены. Доступ пользователей к сети контролируется с помощью предопределенных критериев безопасности, и доступ к сети запрещен до тех пор, пока не будут выполнены все требования.
Установка стандартов безопасности и соблюдение политик являются не только необходимыми, но и важнейшими компонентами для защиты организации от растущих киберугроз и утечек данных, часто усугубляемых теневыми ИТ.
Управление данными и соответствие
По соображениям защиты данных необходим строгий контроль над доступом к данным, чтобы обеспечить их безопасность и точность. Управление доступом и его мониторинг являются фундаментальной частью защиты данных и выявления любых несанкционированных действий или нарушений.
Другие области, включая процессы резервного копирования, обновление программного обеспечения и устранение уязвимостей, являются критически важными аспектами управления данными и обеспечения их безопасности.
ИТ-отдел несет ответственность за все это, но с теневой ИТ-службой ИТ-отдел не может справиться с этим эффективно. На самом деле, пользователи, которые устанавливают и используют ресурсы (без ведома организации), должны следить за тем, чтобы программное обеспечение поддерживалось и сохранялось в безопасности, но в большинстве случаев они этого не делают. Возможно, потому, что им не хватает знаний или они не понимают передовых методов обеспечения безопасности и серьезности своих действий, вводя в среду новые непроверенные ресурсы. Но без обеспечения безопасности с помощью мер, которые организация регулярно принимает, безопасность всей организации потенциально подвергается риску.
Теневые ИТ также усложняют управление данными. В организациях пользователи используют приложения для повышения производительности разными способами. Например, приложения, которые включают в себя улучшенный обмен файлами и совместную работу, могут привести к отсутствию видимости, что может привести к пробелу в безопасности и поставить под угрозу безопасность бизнес-данных (большого количества данных, чувствительных ко времени).
Крайне важно, чтобы ИТ-отдел знал, какие приложения используются и какие риски они представляют для безопасности и безопасности данных.
Для пользователей выгодно иметь возможность обмениваться информацией для создания продуктивной рабочей среды, но это должно быть обеспечено безопасным образом.
Соответствие требованиям является особой проблемой при использовании теневых ИТ. Правила, такие как GDPR, требуют от организаций защиты данных своих клиентов. Теневые ИТ усложняют управление данными, а также усложняют аудит соответствия требованиям. Без возможности контролировать или видеть предоставление и использование ИТ-ресурсов управление данными не может быть точным.
Снижение рисков теневой ИТ-безопасности зависит от того, как мы с этим справляемся
В наших организациях происходит взрыв теневых ИТ. Он существует потому, что традиционные ИТ-отделы не могут выполнять требования пользователей в достаточно быстром темпе по нескольким причинам. Справедливости ради следует отметить, что с развитием событий и с тем, что все ресурсы находятся в распоряжении пользователей одним нажатием кнопки, традиционным ИТ-отделам трудно конкурировать, поскольку они просто не могут обслуживать потребности пользователей таким же образом. ИТ-отделы должны работать лучше, чем теневые ИТ, чтобы теневые ИТ исчезли — и это маловероятно.
Пользователи стремятся выполнить свои требования с помощью теневой ИТ, когда ИТ-отдел не может должным образом поддерживать их уникальные бизнес-потребности. Теневые ИТ позволяют им вводить в эксплуатацию соответствующие услуги быстро и с минимальными трудностями или вообще без них.
Теневые ИТ не исчезнут, поэтому организациям необходимо предпринять шаги для снижения рисков безопасности. Они могут развернуть инструменты для обеспечения видимости и внедрить эффективные процедуры мониторинга, поскольку управление и мониторинг неизвестного невозможны. Организациям нужна видимость для управления данными и их защиты, но ИТ-отделы также должны координировать свои действия с другими отделами и пользователями, чтобы лучше удовлетворять их потребности. Они должны предлагать пользователям руководство и в то же время работать с пользователями, чтобы дать им некоторый выбор и некоторый контроль над тем, что они используют. Совместная работа может означать, что пользователи не захотят работать без одобрения и за спиной ИТ-отдела. Крайне важно предпринять необходимые действия для защиты организации и ее данных от теневых ИТ. Внедрение политик, предоставление каталога предварительно авторизованных служб, служб внесения в черный и белый списки и т. д. может помочь обеспечить соблюдение стандартов безопасности.
Времени, когда ИТ-отдел имел полный контроль над инфраструктурой и ИТ организации, больше нет. Организациям необходимо адаптироваться в ногу со временем, чтобы бороться с теневыми ИТ и потенциальными рисками безопасности, которые они создают. Реальность такова, что теневые ИТ существуют во всех организациях, а услуги используются без разрешения или без ведома соответствующих людей или отделов. Обеспечение безопасности организаций зависит от действий, предпринимаемых организацией и ИТ-отделом для успешной борьбы с теневыми ИТ.