当最终用户绕过IT部门,在未经允许的情况下开始使用软件即服务(SaaS)应用程序时,IT专家就会抱怨他们称之为“影子IT”的困扰。But it would seem the professionals are also operating in the shadows, according to a survey out today.
这份名为《隐藏的真相背后的阴影》(The Hidden Truth behind Shadow IT)的报告是咨询公司Frost & Sullivan和McAfee合作完成的。该调查询问了300名IT专业人员和300名业务线员工,看他们是否在没有正式批准的情况下在工作中使用SaaS应用程序。80%的人承认他们做过,只有19%的企业员工和17%的IT员工声称自己是清白的。
“影子IT”威胁的概念随着基于云的应用程序的广泛使用而增长,这些应用程序可以在IT部门完全不了解的情况下轻松且通常廉价地投入使用,更不用说基于安全策略的SaaS了。
詹妮弗聊聊
McAfee网络安全部门的高级主管Jennifer Geisler表示,对于IT部门来说,他们的反应通常是:“哦,真可怜,要是我们能阻止员工这样做就好了。”
在承认同谋的IT从业者中,42%的人说他们这么做是因为他们“熟悉”和“习惯”使用此类服务。三分之一的人说,“对新软件应用程序的IT审批流程太慢或太麻烦”,业务部门的经理也这么说。四分之一的人表示,未获批准的软件“比获得it批准的同等软件更能满足我的需求”。
所有600名受访者最喜欢的未获批准的SaaS应用类型与业务生产力、社交媒体、文件共享、存储和备份有关。最流行的未经批准的SaaS应用包括微软Office 365、谷歌应用、LinkedIn和Facebook、Dropbox和苹果iCloud。许多公司甚至表示,他们计划增加这种未经批准的用途,比如与ERP系统、财务和法律部门相关的数据存储。
报告还指出,这些员工乐于承认他们所做事情的风险和责任。
将近一半的人表示,他们非常担心数据暴露、被盗或无法从云应用程序取回数据的可能性。22%的人承认他们曾在社交媒体上遭遇过安全事故,16%的人提到过与文件共享、备份或存储相关的安全事故。
调查报告指出:“尽管他们的经历让人深感担忧,但超过80%的受访者大概认为,在没有确保IT保护政策得到应用的情况下,继续使用未经批准的服务是合理的。”报告指出,有一种感觉是“目的正当,手段正当”。
如果有的话,对于“影子IT”可以做些什么,特别是当IT员工和其他人一样可能牵涉其中的时候?
Geisler表示,第一步是敲定政策,首席信息安全官将定下基调,以满足合规和安全需求的方式使用SaaS。监视和控制SaaS的技术也可以应用,但是试图完全关闭SaaS几乎不可行。报告指出,SaaS通常是一种创造性的经营方式,尤其是对年轻员工而言。但是,负责IT安全的人员必须建立可行的方法来控制密码、身份和访问管理、加密和数据丢失预防(例如,作为SaaS使用的一部分)。随着IT人员承认他们是“影子IT”问题的一部分,Geisler建议,IT部门“不能再把矛头指向”公司的其他部门。
Ellen Messmer是IDG出版物和网站Network Wor有个足球雷竞技appld的高级编辑,她在那里报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com