[[228392]]

幾十年來(lái)，CIO和IT經(jīng)理們一直在尋找可靠的方法來(lái)尋找和壓制影子IT技術(shù)，他們意識(shí)到非法工具會(huì)帶來(lái)危險(xiǎn)，包括企業(yè)安全、合規(guī)和工作流漏洞。

如今，越來(lái)越多的IT***開(kāi)始用新的眼光看待它。他們逐漸了解到，研究秘密練習(xí)可以幫助他們收集線索，洞察最終用戶的需求和偏好，開(kāi)發(fā)和部署授權(quán)的軟件和服務(wù)，從而提高員工的工作表現(xiàn)和滿意度。這里有7種方法可以讓你在潛伏的影子IT中獲得優(yōu)勢(shì)。

1.理解為什么使用影子IT工具

許多員工都精通技術(shù)，能夠熟練地利用設(shè)備、軟件和應(yīng)用程序來(lái)提高工作效率。“他們習(xí)慣于在個(gè)人生活中使用面向消費(fèi)者的平臺(tái)，并希望將這種輕松和簡(jiǎn)單的工作轉(zhuǎn)移到日常工作中，”惠普企業(yè)公司Aruba的副總裁兼***技術(shù)專(zhuān)家Jon Green說(shuō)。“任何公司授權(quán)的IT系統(tǒng)都會(huì)減緩進(jìn)程，或者設(shè)置障礙，讓員工全天候工作，無(wú)論他們身在何處，都有可能被繞過(guò)。”

基礎(chǔ)設(shè)施管理軟件提供商solarwind的***極客Leon Adatob表示，堅(jiān)持使用一個(gè)或多個(gè)影子IT技術(shù)的員工只是想讓他們的工作順利、高效地完成。他解釋說(shuō):“如果這個(gè)過(guò)程團(tuán)隊(duì)滿足了他們的需求，沒(méi)有人會(huì)在一個(gè)既定的過(guò)程或團(tuán)隊(duì)中工作。”“但當(dāng)它不存在的時(shí)候，無(wú)論是速度還是成本，都是團(tuán)隊(duì)和個(gè)人開(kāi)始尋找其他成功途徑的時(shí)候。”畢竟，Adato指出，員工主要是評(píng)估結(jié)果，而不是他們符合標(biāo)準(zhǔn)的程度，尤其是那些連累他們達(dá)不到目標(biāo)的標(biāo)準(zhǔn)。

2.研究員工如何使用影子IT工具

如何處理影子IT工具***的方法是讓用戶討論技術(shù)交付給他們的價(jià)值以及它幫助解決的具體問(wèn)題。云安全平臺(tái)提供商N(yùn)etskope的云策略主管Sean Cordero說(shuō):“這與我們IT團(tuán)隊(duì)在評(píng)估新技術(shù)時(shí)的做法類(lèi)似，只不過(guò)新技術(shù)已經(jīng)成為一些業(yè)務(wù)工作流的一部分。”“如果你的團(tuán)隊(duì)不能提供所需的功能，那么很可能是時(shí)候深入挖掘用例，并找出能夠滿足業(yè)務(wù)需求的解決方案。”

一個(gè)***的問(wèn)題就是員工秘密地使用公共云服務(wù)。員工經(jīng)常共享文件，提供多個(gè)用戶文檔訪問(wèn)，或者簡(jiǎn)單地將重要文件備份到Dropbox或谷歌文檔等服務(wù)中。格林警告說(shuō):“雖然這些平臺(tái)隨處可見(jiàn)，使用起來(lái)也很方便，但它們可以將敏感數(shù)據(jù)置于危險(xiǎn)之中。”他指出，面向企業(yè)的云平臺(tái)提供了更強(qiáng)大的安全性和使用控制，包括對(duì)文件進(jìn)行加密的選項(xiàng)，這樣它們才能被有意的各方訪問(wèn)。格林解釋說(shuō):“大型組織也很常見(jiàn)，他們可以實(shí)現(xiàn)自己的安全文件共享平臺(tái)，或者使用白標(biāo)簽產(chǎn)品來(lái)定制那些為他們的業(yè)務(wù)提供***價(jià)值的功能。”

3.確定陰影技術(shù)是否構(gòu)成安全威脅

“***步是確定它存在于組織中的什么陰影，”Grant Thornton咨詢服務(wù)實(shí)踐的負(fù)責(zé)人羅伊·尼克爾森建議。他說(shuō):“實(shí)現(xiàn)這一目標(biāo)的方法有很多，其中之一就是監(jiān)控網(wǎng)絡(luò)上的出站流量，因?yàn)榇蟛糠值年幱肮ぞ叨忌婕暗杰浖蚧A(chǔ)設(shè)施即服務(wù)能力。”“從那里，公司可以開(kāi)始通過(guò)安全評(píng)估工作。”

uniper Networks的Juniper威脅實(shí)驗(yàn)室負(fù)責(zé)人Mounir Hahad建議，企業(yè)應(yīng)該像對(duì)待其他類(lèi)型的軟件和服務(wù)一樣，對(duì)IT安全進(jìn)行評(píng)估。他說(shuō):“影子IT技術(shù)本身并不需要不同的評(píng)估程序，但最需要評(píng)估的是確保可以觀察和減輕任何安全風(fēng)險(xiǎn)。”

在一個(gè)公司的網(wǎng)絡(luò)上，未知的用戶和設(shè)備會(huì)造成安全漏洞和增加風(fēng)險(xiǎn)。“使用網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)為每個(gè)人提供實(shí)時(shí)信息，系統(tǒng)和設(shè)備連接到公司基礎(chǔ)設(shè)施是檢測(cè)影子IT技術(shù)的一種有效方法，”Green notes說(shuō)。此外，用戶和實(shí)體行為分析(UEBA)工具可以幫助檢測(cè)和防止隱藏的網(wǎng)絡(luò)威脅，這些威脅已經(jīng)滲透到外圍防御系統(tǒng)中。他說(shuō):“這些工具加在一起，對(duì)于保護(hù)企業(yè)資產(chǎn)來(lái)說(shuō)，是一種巨大的雙重打擊。”

4.評(píng)估影子技術(shù)作為企業(yè)生產(chǎn)力工具的潛在價(jià)值

評(píng)估影子工具價(jià)值的最簡(jiǎn)單和最原始的方法是與用戶討論技術(shù)。紐約地區(qū)獨(dú)立的安全架構(gòu)師Pieter VanIperen說(shuō):“你的員工知道如何讓你的公司更有效率，他們的工作效率比任何供應(yīng)商、銷(xiāo)售代表、安全專(zhuān)家或基礎(chǔ)設(shè)施團(tuán)隊(duì)都要好。”“對(duì)待你的員工就像對(duì)待你的客戶一樣——給他們一個(gè)好的工作經(jīng)驗(yàn)，他們將會(huì)產(chǎn)生有效的工作，并且不需要通過(guò)陰影技術(shù)來(lái)隱藏。”

如果員工使用的是影子工具，很可能有一個(gè)很好的理由。他建議說(shuō):“找出為什么這些用戶會(huì)轉(zhuǎn)向陰影，以及存在哪些差距。”他說(shuō)，更好的方法是調(diào)查員工關(guān)于潛在的新工具，讓他們嘗試各種選擇。他補(bǔ)充說(shuō):“確保這不是你獲得一個(gè)過(guò)于復(fù)雜的工具的過(guò)程。”

5.與影子技術(shù)的供應(yīng)商合作開(kāi)發(fā)企業(yè)級(jí)版本

基礎(chǔ)設(shè)施和服務(wù)提供商Logicalis的安全解決方案副總裁Ron Temske建議，如果它決定了將影子IT技術(shù)轉(zhuǎn)換為已批準(zhǔn)的業(yè)務(wù)工具的一個(gè)可靠的業(yè)務(wù)原因，那么組織應(yīng)該向開(kāi)發(fā)人員介紹具體的需求和目標(biāo)。他指出:“許多軟件供應(yīng)商有不同版本的產(chǎn)品，或者愿意合作，以確保產(chǎn)品符合組織的要求。”

10年或15年前，大多數(shù)的消費(fèi)者工具都是在企業(yè)層面的安全與合規(guī)標(biāo)準(zhǔn)中被忽視的。IT軟件和服務(wù)評(píng)論網(wǎng)站G2 Crowd的***研究官M(fèi)ichael Fauscette認(rèn)為:“這在今天的大多數(shù)工具中都是不真實(shí)的。”當(dāng)然，也有例外，在這種情況下，它可以提供適當(dāng)?shù)腫審查]工具來(lái)取代它們……或與供應(yīng)商合作，改善問(wèn)題領(lǐng)域的解決方案。

6.以一種保留影子版本原始收益的方式部署技術(shù)

一旦決定正式采用，它就應(yīng)該把重點(diǎn)放在將影子技術(shù)變成一個(gè)完全可用和安全的狀態(tài)。“確保核心用例已經(jīng)被覆蓋，否則就不麻煩了，”VanIperen建議。“一個(gè)不正確的工具只會(huì)給它帶來(lái)更多的陰影。”

將陰影工具帶到IT保護(hù)傘下的最快捷方式是與提供者對(duì)話，解釋組織的具體需求，然后確保提供者通過(guò)測(cè)試和試驗(yàn)部署實(shí)現(xiàn)其承諾。然而，Codero警告說(shuō)，我們也必須明白，在企業(yè)級(jí)版本中，有些影子工具是永遠(yuǎn)無(wú)法提供的。“在傳統(tǒng)意義上支持他們幾乎是不可能的。”

7.時(shí)刻保持警惕

它必須時(shí)刻關(guān)注新的影子技術(shù)，因?yàn)樵缙诘膯T工部署的工具被適當(dāng)?shù)靥幚?。另一方面，那些發(fā)現(xiàn)自己業(yè)務(wù)被成功的影子IT技術(shù)打擊的組織應(yīng)該考慮到，它可能存在很大的差距，因?yàn)樗心芰焖偾页杀居行У亟桓犊煽康慕鉀Q方案。“這意味著缺乏溝通，并且缺乏信任，”Adato解釋說(shuō)。“沒(méi)有任何個(gè)人、團(tuán)隊(duì)、部門(mén)或企業(yè)能夠在這些潛在的原因存在的情況下繼續(xù)成功運(yùn)作。”

***，它絕不應(yīng)該屈服和批準(zhǔn)一個(gè)可疑的影子工具來(lái)滿足員工的需求。如果有安全漏洞或重大故障,對(duì)這一事件負(fù)責(zé)將最終取決于***信息官和***技術(shù)官,即使他們不是那些影子IT供應(yīng)商的協(xié)議執(zhí)行,為了維護(hù)企業(yè)的完整性，IT組織需要確保如果使用了影子IT技術(shù)，用以符合企業(yè)標(biāo)準(zhǔn)。 

【編輯推薦】