IT、移动和安全专家就如何将第三方应用和服务以及员工在工作场所使用移动设备的风险降到最低提供了建议。
随着工作场所云计算和BYOD的增加,it部门跟踪和管理软件和硬件以及维护安全环境变得越来越困难。
那么cio和其他IT领导者可以做些什么来识别和管理影子IT——不直接在IT控制之下的软件和硬件——并减轻潜在的风险呢?CIO.com询问了数十位IT、移动和网络安全专业人士来找出答案。以下是他们在企业中管理影子IT的六条建议。
1.监视您的网络——以确定是否或在何处出现了影子IT问题。“无论员工使用的是公司发行的还是个人(比如BYOD)硬件,组织都需要确定他们所有的数据都驻留在哪里——内部、数据中心、边缘还是云端,”产品营销高级经理Greg White说,雷竞技电脑网站CommVault是一家提供数据和信息管理软件的公司。
然后,“为了快速识别影子IT,你需要持续监控你的网络以发现新的和未知的设备,比较扫描列表以确定何时出现新设备,”CTO Dwayne Melancon说。Tripwire这是一家网络安全公司。
Melancon说:“这可以被纳入例行的企业漏洞扫描,这是一种被广泛采用的安全最佳实践。”“这种方法将使你能够收集新设备在你的网络中的位置信息,以及它们是哪种设备的详细信息。”
类似地,“您可以处理来自当前防火墙、代理、SIEMS和MDM产品的日志数据,以确定在它的权限之外正在使用的云服务,”的首席执行官Rajiv Gupta说极高的网络该公司是一家云接入安全公司。“这些数据可以告诉你正在使用哪些服务,谁在使用这些服务,使用频率以及上传和下载了多少数据。”
2.优先考虑风险。“并非所有在IT控制之外使用的软件/服务都是坏的,”Gupta说。他建议:“利用一个客观而全面的云服务注册来识别使用中风险最高的服务,并首先解决这些问题。”“通过现有的基础设施(即防火墙、代理、MDM解决方案)阻止这些高风险服务,或者通过识别用户并请求他们停止使用这些服务,可以防止访问这些高风险服务。”
3.建立BYOD和应用程序/云服务的指导方针。“为了适应业务单位的需要,IT部门可以创建和共享一个已批准的软件/应用程序列表,而不仅仅是标准问题软件,”CMO Chris Smith说,芝诺,提供IT监视和管理解决方案。
Smith说:“这将使业务部门能够自己做出购买决策,以确保引入不会导致兼容性或安全问题。”此外,“IT部门应该设置流程,以便能够快速批准/不批准业务部门积极寻求的新应用程序。”
“在英国电信,我们非常重视与员工分享自带设备战略的细节,这样我们就能清楚地了解我们能支持什么,以及由于业务风险,哪些领域我们必须谨慎行事,”詹森·库克(Jason Cook)说,他是美国和加拿大以及CPG的首席架构师和CTO。英国电信全球服务。这让员工提前知道什么是允许的,并减少使用未经批准的应用程序和设备的风险,以及安全风险。
4.提供选择。怀特说:“今天的员工希望能够跨地点和设备查找、查看和使用他们的数据。”他说:“如果企业不能提供远程访问企业数据的安全解决方案,员工就会找到自己的方法,通过使用消费品来有效地管理信息,从而使企业处于风险之中。”
White说:“通过为员工提供安全的、由IT控制的、随时随地的信息访问,他们可以降低员工部署超出IT意识、发现和控制的外部产品的风险。”
“你的员工使用iOS和android设备远程访问他们的工作内容,”总经理Jeetu Patel说,EMC Syncplicity。“所以,确保你为用户提供与你现有的移动管理平台兼容的移动选择,或者提供广泛的安全和政策控制,以保护丢失或被盗设备上的数据。”
“IT组织不应该忽视BYOD,而是应该预先解决这个问题,让这些员工能够在个人设备上安全地完成所有工作,”首席营销和产品官泰勒·莱萨德说。Fixmo该公司是一家移动设备软件公司。
“如果他们不这样做,他们就会面临用户绕过政策、寻找其他方式将公司文件转发到移动设备等风险,”Lessard警告说。“以一种战略性的方式,直面(影子IT),对自带设备说‘是’,给员工一种合适的方式安全地工作,而不是强迫他们寻找变通办法。”
5.限制访问第三方应用程序。“限制用户访问Dropbox、SharePoint和SkyDrive等应用程序,”该公司董事总经理克里斯托弗•布代特(Christophe Boudet)表示。秋田犬IT服务。“大多数IT政策将阻止个人用户选择他们无论如何都可以安装的应用程序,”他说。“此外,要在你的资讯科技政策中清楚说明不允许提供这些服务,并为你的员工提供足够的培训,使他们明白讯息。”
然而,“阻塞并不总是最好的方法,”Gupta说。“有时候,识别用户,帮助他们了解风险,并提出功能相同的低风险替代方案会更有效。”人们往往会想办法去那些他们觉得被不公正地屏蔽了的网站和服务。”
6.提供特赦。“在识别影子IT的威胁时,你有两个选择:首先,你的IT部门可以识别第三方云解决方案(如Skype、Box和Dropbox)与影子IT之间的流量,”at的消息传递、安全和合规倡导者奥兰多•斯科特-考利(Orlando Scott-Cowley)说Mimecast,提供电子邮件管理、遵从性和归档解决方案。
斯科特-考利说:“然而,这个过程耗时、不准确,而且完全屏蔽几乎是不可能的。”更好的选择是:“暂缓大赦。”一个没有后果,‘站起来,坦白,被计算出来’的策略,而不用担心受到惩罚,尤其当你给用户一个机会来解释为什么他们需要一个第三方应用程序,以及为什么你的公司平台不能胜任这项工作的时候。”
你应该拥抱影子吗?你要问自己4个问题
在接受或限制影子IT之前,秋田IT服务公司的Boudet建议首席信息官们问自己以下四个问题:
Jennifer Lonoff Schiff是CIO.com的撰稿人营销传播公司专注于帮助组织更好地与客户、员工和合作伙伴进行互动。
在Twitter上关注CIO.com上的一切@CIOonline,在Facebook,在谷歌+。
阅读更多关于byod的信息在CIO的办公室里。
这个故事,“帮助cio管理影子IT的6个技巧”最初是由首席信息官 。