Теневые ИТ: угроза или возможность?
«Теневые ИТ не так уж и важны. Только когда это выходит из тени, это становится большой проблемой». Так сказал мой друг Джон, коллега, системный администратор крупного производственного предприятия среднего размера. Джон прокомментировал свою реакцию на неодобрение своего руководства, когда он сказал им, что несколько пользователей обходили внутренний контроль, предположительно, чтобы выполнять свою работу более эффективно.
Политика теневых ИТ
Опыт Джона подчеркивает часто забываемый аспект теневых ИТ. А именно, что теневые ИТ — это не просто техническая или управленческая проблема, это еще и политическая проблема.
Аристотель определял политику как практику, направленную на то, чтобы сделать граждан счастливыми. К сожалению, многие люди, работающие сегодня в корпорациях, далеко не счастливы. Люди боятся потерять работу во имя разрушения, погони за долей рынка за счет всего остального. Сотрудники обременены неуправляемой рабочей нагрузкой во имя эффективности, маскирующейся под лояльность акционеров. И ИТ-персонал находится в центре всего этого, потому что компьютерные технологии очень важны для успеха и работы современного бизнеса.
Многие ИТ-специалисты, с которыми я сейчас общаюсь, недовольны. Они недовольны своей рабочей нагрузкой, недовольны управлением, недовольны пользователями. Вместо того, чтобы на рабочем месте было слишком много политики, ее недостаточно — по крайней мере, в аристотелевском определении делать других людей счастливыми. Распространение теневых ИТ — это просто результат или выражение лежащей в основе политической напряженности на сегодняшнем рабочем месте. Пользователи чувствуют необходимость выполнять свою работу, поэтому они по возможности обходят ИТ-контроль, чтобы это произошло. Менеджеры чувствуют необходимость покрывать себя, поэтому они обвиняют ИТ-отдел, когда происходят нарушения, вместо того, чтобы приписывать это драконовским мерам по сокращению расходов, которые они должны были реализовать. И генеральные директора чувствуют давление со стороны акционеров, требующих повысить гибкость своего бизнеса, чтобы конкурировать в сумасшедшем мире, где стартапы проходят путь от нуля до статуса золотого единорога за время, измеряемое месяцами, даже если их прибыль остается отрицательной.
И бедный айтишник оказывается прямо посреди всего этого.
Давление со стороны продавцов
Давление, которое постоянно испытывают ИТ-работники, исходит не только сверху (руководство) или снизу (пользователи). Это также исходит от компаний, которые предоставляют инструменты и платформы, позволяющие ИТ-специалистам выполнять свою работу. Другими словами, это исходит от продавцов.
Я внимательно наблюдал за этим вопросом и считаю, что большинство поставщиков программного обеспечения и услуг для бизнеса поддерживают компании, использующие теневые ИТ на рабочем месте. Почему это? Потому что для поставщика теневые ИТ представляют собой возможность. Подача обычно звучит примерно так:
Сначала играя на наших страхах, а затем предлагая нам свое решение, поставщики часто изображают из себя спасителей для ИТ-персонала, борющегося с распространением теневых ИТ на своих рабочих местах. Но действительно ли добавление еще одного технологического уровня к вашей инфраструктуре облегчит вам жизнь измученного ИТ-специалиста? Является ли новая технология — больше технологий — лучшим способом справиться с теневым айсбергом ИТ, с которым сталкивается большинство организаций?
Аргумент в пользу контроля
Особенно крупным компаниям легко утверждать, что решение растущей проблемы теневых ИТ заключается в установлении более строгого контроля. Но в то время как стратегия управления, управления рисками и соответствия (GRC) может иметь важное значение для организаций, которые имеют дело с государственными клиентами или международными рынками, небольшие компании могут найти этот подход обременительным. Компании среднего размера часто внедряют структуры ITIL или COBIT для получения сертификации ISO. Но после сертификации внимание к внедренным средствам контроля, как правило, быстро ослабевает за счет операционных проблем. Даже крупные транснациональные корпорации, как правило, засыпают за рулем после завершения одного из этих проектов. Конечным результатом вождения во сне является несчастный случай — в данном случае досадное нарушение безопасности, которое может привести к краху компании.
Однако простое использование политик для управления поведением пользователей в вашей организации — это не выход. Как человек, занимавший руководящую должность, я часто возвращаюсь к любимому высказыванию генерала Дуайта Д. Эйзенхауэра. Мудрые слова Айка для менеджеров были такими:
У меня есть собственное следствие изречения Айка, и оно звучит так:
Короче говоря, это не внедрение и распространение политики, которая достигает чего-либо внутри организации. Это постоянное справедливое и беспристрастное применение политики, которая приносит реальную пользу.
Из тени
Как эта мудрость применима к проблеме теневых ИТ? Мое собственное предложение для ИТ-менеджеров, занимающихся теневыми ИТ, таково. Начните, конечно, с составления списка масштабов и характера проблемы в вашей компании. При необходимости привлеките помощь извне, чтобы получить четкое представление о масштабах и видах теневых ИТ, используемых на вашем рабочем месте. Не забудьте также опросить группу ваших пользователей, чтобы выяснить, почему они используют неавторизованные личные устройства, программное обеспечение или облачные сервисы на своем рабочем месте. И с самого начала обязательно переверните офисную политику с ног на голову — скажите пользователям, что ваша цель во всем этом — сделать их счастливее на работе, а не обрушить топор на их головы.
После того, как вы узнали, кто что делает и почему на рабочем месте, разбейте проблему на составные части и определите их приоритетность. Например, неавторизованные устройства — это один из аспектов теневой ИТ. Это могут быть смартфоны, планшеты или ноутбуки. Это также может быть устройство хранения NAS, стоящее под чьим-то столом.
Тогда есть проблема неавторизованных приложений. В большинстве компаний есть элементы управления, которые не позволяют пользователям самостоятельно устанавливать приложения на свои компьютеры. Тем не менее, компании по-прежнему сталкиваются с неавторизованными программами, установленными на компьютерах пользователей. Почему? Потому что пользователь попросил ИТ-специалиста установить программу, которая ему «действительно нужна» для работы, и ИТ-специалист сделал это за него. Почему? Чтобы пользователь не беспокоил их.
Наконец, существует аспект хранения бизнес-данных пользователями в личных облачных сервисах, таких как Microsoft OneDrive, Apple iCloud или бесплатных учетных записях Dropbox. Если ваш брандмауэр не является таким же тонким, как щетина в бороде Джейсона Стэтхэма, вы вряд ли помешаете пользователям получить доступ к бесплатным облачным службам, подобным этому, с их заблокированных рабочих станций Windows. Кроме того, Стэтхэму, вероятно, нужен стилист, который будет проводить несколько часов каждое утро во время съемок, просто чтобы убедиться, что его щетина выглядит «в самый раз» для его аудитории, состоящей из обморочных поклонников. Почему вы, как сетевой администратор, должны каждое утро часами открывать и закрывать порты брандмауэра только для того, чтобы убедиться, что все идеально в вашем запертом мире?
На этом этапе вы готовы внедрить свои средства контроля, как технические, так и основанные на политиках, для решения теневых ИТ-проблем, которые вы выявили в своей организации. Теперь вот ключ: политика ничто; соблюдение политики — это все. Но чем больше политик у вас есть и чем они сложнее, тем больше времени и энергии вам потребуется для их надлежащего применения.
Это означает, что ключом к эффективному применению политик является реализация минимального количества простых, простых в управлении политик, необходимых для достижения вашей цели. И никогда не применяйте политику, к которой вы не готовы прилежно, но справедливо применять.
Или, как сказал персонаж Клайва Оуэна в фильме «Крупье»: «Держись крепче, отпускай легко». Может быть, если ИТ-специалисты, такие как мы, займутся таким же отношением как к нашим менеджерам, так и к нашим пользователям, мы будем намного счастливее.