Теневые ИТ — это инструменты, которые сотрудники уже давно применяют без одобрения ИТ-службы, но за время пандемии они стали более сложными и менее управляемыми. Опрошенные порталом Information Age эксперты рассказывают о том, как их использовать без ущерба для предприятия.
Теневые ИТ становятся все более распространенными в компаниях различных отраслей — в основном благодаря тому, что удаленные сотрудники отказываются от инструментов, предоставляемых ИТ-отделом, и ищут более гибкие альтернативы. Но хотя использование таких приложений может ускорить выполнение рабочих задач, теневые ИТ несут определенные риски для безопасности. Следует разобраться с тем, как ИТ-команды могут их снизить, сохраняя при этом высокую производительность.
Приоритет сотрудничеству
За последний год сотрудничество между подразделениями стало как никогда важным, в том числе оно затрагивает и борьбу с теневыми ИТ. «Теневые ИТ — интересная проблема, она, безусловно, вызывает серьезную озабоченность у компаний, а в связи с переходом на удаленную модель работы риск расширения такой практики многократно вырос, — поясняет руководитель отдела управляемых услуг компании Amido Ричард Слейтер. — Однако хитрость в борьбе с этой проблемой заключается в том, чтобы признать ее и не в коем случае не игнорировать. Прилагая целенаправленные усилия, чтобы понять, почему команды используют несанкционированные технологии, вы способствуете формированию культуры сотрудничества. Когда вы поймете, чего они хотят, вы сами сможете помочь им».
По его словам, честность и открытость со стороны руководства поощряет команды обращаться к CIO за помощью в реализации безопасных решений, тогда как закрытость лишь усугубляет первоначальную проблему. «Во многом проблема теневых ИТ связана с мнением, что ИТ-команды не учитывают потребности организации, но приоритет сотрудничества помогает бороться с этим мнением и снизить риск теневых ИТ», — добавил он.
Обеспечьте видимость
Максимальная видимость — основа обеспечения безопасности организации. Стив Брэдфорд, старший вице-президент Sailpoint в регионе EMEA, рекомендует использовать для этого средства идентификации. «Когда вы думаете о теневых ИТ, воображение рисует картину монстров, которые бродят по ночам. Но в действительности они представляют собой реальную угрозу для организаций, а не сказку на ночь, которой пугают детей. Как ИТ-отделу получить видимость и контроль над сотнями несанкционированных приложений, которыми пользуются сотрудники? Часто их количество в
Эта практика автоматически обеспечивает безопасность и соответствие требованиям и одновременно предоставляет пользователям максимальную гибкость по мере развития SaaS. «Она дает ИТ-командам реальное представление о том, кто и к каким ресурсам имеет доступ в системе, где находятся уязвимые места, что делает их гораздо лучше подготовленными к мониторингу или реагированию на нарушение. Внедрение этой технологии — единственный способ спокойно отдохнуть с пинтой пива в руке в конце долгого рабочего дня», — добавил он.
«Единственный способ устранить риски теневых ИТ — измерить степень их использования, — полагает партнер ISG Джулиен Эскриб.— На рынке уже появились технические предложения, которые обладают таким уровнем мониторинга. Минимизация рисков происходит за счет большей видимости сети и контроля над теневыми ИТ посредством обнаружения и снижения рисков».
Безопасность и масштабируемость
Безопасность и масштабируемость должны занимать важное место в ИТ-повестке дня, особенно это касается контроля гибридных рабочих групп — сотрудников, работающих как удаленно, так и в офисах. «Чтобы оставаться конкурентоспособным, каждый бизнес нуждается в инновационных технологиях, вписывающихся в сроки CI/CD и цикл разработки, — говорит Пракаш Синха, старший директор по решениям для доставки приложений Radware. — Если разработчики не могут получить необходимую поддержку от ИТ-отдела, они будут искать необходимые ресурсы у сторонних служб. Это приводит к потенциальным рискам безопасности, а также к финансовым проблемам и вопросам нарушения прав на собственность. Для предприятий с теневыми ИТ безопасность и масштабируемость должны быть частью систем самообслуживания, оркестровки и автоматизации ИТ, которые не требуют дополнительных усилий от тех, кто занимается установкой теневых приложений и услуг».
Обратитесь к персоналу
Наконец, наряду с взаимодействием с сотрудниками, которое носит общий характер, ИТ-командам полезно собирать и оценивать их отзывы о проблемах, которые могут быть решены внутри компании. «Теневые ИТ появляются, когда сотрудники сами решают проблему, с которой они столкнулись, и по какой-то причине считают, что их ИТ-команда не может помочь в ее решении, — сказал CISO компании Acronis Кевин Рид. — Хорошим примером является Slack — полуоткрытая платформа, все чаты которой перенесены в облако. Эта идея появилась более 10 лет назад, и в то время ее не одобрил бы ни один пребывающий в здравом уме CISO. Правильный курс действий для ИТ-команд — обратиться к сотрудникам, чтобы понять их насущные потребности и найти способ безопасно их удовлетворить, не привлекая небезопасных решений или платформ. Честно говоря, я знаю очень мало компаний, которые следуют этому проактивному подходу, тогда как это должно было уже стать стандартной практикой».
