曾几何时,就在不久前,IT管理员究竟选择什么样的硬件和软件将通过员工使用。像IT和BYOD(自带设备)的消费最近的趋势已经改变权力平衡,但它仍然要保持一定程度的使用过的应用程序的控制和敏感数据存储的。许多用户只需下载应用程序或开始使用未经批准的服务,不过,通过引入安全unnceccesary风险“影子IT”。
迈克菲赞助Frost&Sullivan的一项研究,调查范围和阴影的影响,IT - 特别的SaaS(软件作为一种服务)的应用程序正在使用的员工无需IT的知识或同意 - 有时甚至直接违背建立IT策略。该研究特别侧重于用于作业功能的应用程序 - 而不是游戏或个人服务。
这一区别是很重要的,因为它得到了问题的关键所在。当然,员工会花时间更新的Facebook,亚马逊上购物,或消磨时间用愤怒的小鸟。这些都是应该由IT策略的控制,并在由IT管理员某种方式监控所有活动。然而,当员工识别到没有被批准的应用程序和服务满足合理的需求,并且去流氓找他或她自己的解决方案,它在该组织的最大利益,试图了解原因,并找出如何满足需要,而不仅仅是阻止访问或禁止该服务。
影子IT会增加风险和潜在的网络或公司的数据暴露妥协。最糟糕的是,IT管理员甚至不知道正在使用影子IT的应用程序,或正在使用的人,由谁来,所以这是不可能有效地降低风险和保护网络。
在Frost&Sullivan的研究发现,80%的受访者承认使用未经批准的SaaS应用程序来完成他们的工作。这是使用应用程序的IT管理员甚至不知道的五分之四的员工。基于从受访者的反馈,似乎三分之一或更多的是被用来实际上获得并未经同意或IT的监督使用的应用程序。
这些都不是恶意的企图规避政策或颠覆了IT管理员的权限。在大多数情况下,用户只是试图让他们的工作在他们可以最有效的方式来完成。如果他们找出一种需要,找到一个SaaS的工具,帮助他们完成工作,他们只是做他们必须做的满足用户的需求是什么。
由于大多数用户在他们的设备上混合使用了商业和个人应用程序和数据,而且在很多情况下,员工拥有的是笔记本电脑、平板电脑或智能手机,因此对“所有权”的模糊界限和许多困惑加剧了IT阴影问题。如果没有一个清晰的理解和一个清晰定义的策略来控制SaaS应用的采用,用户甚至可能不会意识到他们正在做的事情是“错误的”。
有几件事情,企业可以做,以尽量减少影子IT和解决与流氓SaaS应用相关的风险。首先,建立一个SaaS政策,并确保用户的教育,明白什么是可以接受的,哪些不是。
其次,监控网络和Web流量,以识别恶意SaaS应用,并找出谁在使用它们。确保所使用的应用程序不暴露在网络上不必要的风险,并减轻任何现有的安全问题。
第三,与用户的工作,了解问题的根源。找出流氓的SaaS应用程序做什么,帮助员工完成他们的工作,以及如何或为何这些功能都没有解决由批准的应用程序。如果影子IT工具是太大的安全风险,用户找到合适的替代品,既满足需要把工作做好的工作,并与同时公司的IT和安全策略。
这个故事,“影子IT正在破坏您的安全”最初是由CSO 。