Эффективное управление теневыми ИТ требует сочетания надежных технических мер и воспитания культуры осознания необходимости безопасности, что позволяет снизить риски, связанные с использованием несанкционированных инструментов и сервисов, пишет на портале InformationWeek Марио Платт, вице-президент и CISO компании LastPass.
Теневые ИТ уже давно являются проблемой для компаний: от личных устройств, принесенных на работу, до непроверенного ПО, установленного внутри периметра. С переходом компаний на облачные технологии эта проблема стала еще более запутанной: сотрудники, руководствующиеся благими намерениями, создают несанкционированные сервисы, а технические команды используют несанкционированные облачные сервисы для добавления функциональности в свои проекты.
Кроме того, удаленные сотрудники и их мешанина из потребительских и условно-потребительских технологий вносят меньшую видимость и больший риск в уравнение ИТ-безопасности.
Согласно исследованию HashiCorp «2024 State of Cloud Strategy Survey», только 8% компаний имеют «высокоразвитую» практику управления жизненным циклом инфраструктуры и безопасности. Добавьте к этому хаос слияния или поглощения, и проблемы могут быстро нарастать. Смешение двух технологических платформ при слиянии или разделение общей инфраструктуры при продаже компании, скорее всего, приведет к нарушению и потере надзора за безопасностью.
Управление теневыми ИТ — это постоянная проблема, для эффективного решения которой необходимо сочетание технических средств контроля, процессов управления и культурных изменений. Вот три способа, с помощью которых компании могут справиться с теневыми ИТ.
1. Технология SSO необходима, но далеко не достаточна. Общепринятым способом получения информации об облачных и локальных службах является использование платформ единого входа (SSO), позволяющих узнать, какие приложения и службы используют сотрудники. Однако проблема заключается в том, что не все приложения поддерживают SSO, особенно облачные или мобильные приложения на личных устройствах сотрудников, которые часто используются для работы.
Разделение и выделение активов приводит к дублированию наиболее важных служб, появлению новых устройств у сотрудников и необходимости пересмотреть все средства контроля безопасности, поскольку компания переходит от устаревших служб к новой платформе. В такие периоды обнаружение, анализ и реагирование на угрозы (DART) может стать особенно сложной задачей.
Урок для корпоративных служб безопасности заключается не только в обеспечении видимости, но и в создании внутреннего процесса, который обучает сотрудников и переключает их с несанкционированных рискованных приложений на одобренные платформы.
2. Необходимость обнаружения активов в гибридной инфраструктуре. Еще одна проблема — распространение удаленных и мобильных сотрудников, чьи устройства — зачастую плохо управляемые — находятся в домашних офисах или часто подключаются в дороге.
Что касается внутренних сотрудников, то компании по умолчанию контролируют локальные технологии, даже если эти технологии являются несанкционированными теневыми ИТ. Для управления удаленными технологиями компаниям следует установить агентов на любом устройстве, подключающемся к корпоративной облачной службе или использующем виртуальную частную сеть. Такая защита может быть достаточной, в зависимости от того, как ваша компания реализует защиту и контрольные точки.
Во время слияния организация должна получить четкий обзор всех ИТ-активов нового предприятия и обеспечить подход с нулевым доверием к любому доступу к конфиденциальным корпоративным данным. При разделении организации могут потерять видимость устройств и приложений, что приведет к появлению теневых ИТ и потенциальных векторов атак.
Переход к удаленной работе, вызванный пандемией коронавируса, заставил многие компании перейти на защищенные веб-шлюзы для обеспечения соблюдения политик в отношении офисных и удаленных сотрудников. Компаниям следует сосредоточиться на дополнительных мерах безопасности с нулевым уровнем доверия, чтобы обеспечивать соблюдение политик безопасности даже тогда, когда сотрудники находятся за пределами корпоративного брандмауэра.
3. Необходимы культурные изменения. Организации должны убедиться, что каждый облачный сервис поддерживает их миссию по обеспечению безопасности и что ни одна технология не является неуправляемой. Это особенно актуально во время таких сложных событий, как слияние или продажа.
Теневые ИТ возникают из-за культуры, в которой команды безопасности рассматриваются как привратники, которых можно обойти. По данным компании Snyk, занимающейся цепочками поставки ПО, более чем в 80% организаций разработчики обходят политики безопасности и используют ИИ-инструменты для завершения кода с помощью искусственного интеллекта. Согласно отчету Productiv «2024 SaaS Trends — Spend», ChatGPT и другие большие языковые модели (LLM) стали главными теневыми ИТ в 2023 г., спустя несколько месяцев после выхода.
Компаниям необходимо показать сотрудникам, почему безопасность необходима для поддержания бизнеса и какие последствия могут быть, если этот фокус будет потерян. Удержать этот фокус, безусловно, сложно, особенно когда компании часто проходят через цикл попеременного акцентирования внимания на безопасности и экономии средств.
Эффективное управление теневыми ИТ требует сочетания жестких технических мер и формирования культуры осознания необходимости безопасности, что позволяет снизить риски, связанные с использованием несанкционированных инструментов и сервисов. В период быстрой цифровой трансформации, особенно в ходе слияний и поглощений, создание гибкой ИТ-инфраструктуры, адаптирующейся к изменениям, является ключевым фактором обеспечения безопасности и поддержания доверия во всем бизнесе.
