授予非IT員工不受限制的自主權(quán)和對(duì)IT資源的完全訪問(wèn)權(quán)會(huì)帶來(lái)極端的負(fù)面影響。雖然員工的意圖可能是善意的，但安裝未經(jīng)授權(quán)的軟件或使用未經(jīng)驗(yàn)證的設(shè)備可能會(huì)導(dǎo)致難以操作的影子IT。

企業(yè)必須繼續(xù)保護(hù)自己免受內(nèi)部威脅。以下將探討如何通過(guò)盡力減少影子IT的影響來(lái)保護(hù)企業(yè)的業(yè)務(wù)。

了解影子IT

影子IT指的是未經(jīng)授權(quán)使用額外的IT資源，例如軟件、硬件、云服務(wù)和工具。這些額外的IT資源通常是由非IT或非安全人員安裝的，因此面臨很大的風(fēng)險(xiǎn)。

影子IT 最初純粹是出于工作的需要。在通常情況下，大多數(shù)企業(yè)的結(jié)構(gòu)由五個(gè)部門(mén)組成。然而，許多規(guī)模較小的企業(yè)和初創(chuàng)企業(yè)被迫創(chuàng)建自治或混合部門(mén)。例如，無(wú)法負(fù)擔(dān)專(zhuān)門(mén)的人力資源部門(mén)的企業(yè)通過(guò)將勞動(dòng)力管理授權(quán)給其他部門(mén)和員工來(lái)克服這一限制。

由于現(xiàn)代云計(jì)算平臺(tái)和工具的日益成熟和可訪問(wèn)性，這種模式在當(dāng)今更容易實(shí)現(xiàn)。企業(yè)現(xiàn)在可以使用許多人工智能驅(qū)動(dòng)的員工資源調(diào)配和勞動(dòng)力管理軟件。

影子IT在擁有混合部門(mén)或小型IT部門(mén)的企業(yè)中很常見(jiàn)。然而，影子IT事件也經(jīng)常發(fā)生在員工無(wú)人監(jiān)督的大型企業(yè)中。

為什么影子IT是一個(gè)問(wèn)題?

隨著工作場(chǎng)所的技術(shù)創(chuàng)新對(duì)于企業(yè)獲利變得至關(guān)重要，精通技術(shù)的員工開(kāi)始尋找解決方案，以克服具體的業(yè)務(wù)問(wèn)題。

這將讓他們跟上現(xiàn)代辦公的變化，促使他們尋找和采用現(xiàn)代科技工具。畢竟，互聯(lián)網(wǎng)總是充斥著廉價(jià)的軟件和網(wǎng)絡(luò)解決方案，從價(jià)格合理的域名和托管解決方案到更加靈活的企業(yè)應(yīng)用程序。

然而, 對(duì)更強(qiáng)大的商業(yè)智能(BI)的渴望誕生了大量的統(tǒng)計(jì)分析系統(tǒng)(SAS)的軟件和硬件解決方案。

一些工具的開(kāi)發(fā)人員和供應(yīng)商很快意識(shí)到，他們可以通過(guò)出售客戶(hù)的數(shù)據(jù)來(lái)獲得額外的收入。因此，盡管市場(chǎng)上充斥著各種可供企業(yè)選擇的軟件，但并非所有軟件都是安全的。即使有GDPR法規(guī)這樣的數(shù)據(jù)保護(hù)條例，軟件供應(yīng)商仍然可以收集和出售客戶(hù)的數(shù)據(jù)，只要他們通過(guò)其條款和條件獲得客戶(hù)的同意。

數(shù)據(jù)被出售并不是影子IT的唯一風(fēng)險(xiǎn)，未檢測(cè)的軟件也可能攜帶漏洞和惡意軟件。

許多免費(fèi)軟件通過(guò)為其他付費(fèi)軟件和服務(wù)做廣告來(lái)獲利，他們通常使用安裝過(guò)程中出現(xiàn)的彈出窗口或向?qū)聊粊?lái)推廣該軟件。

這些應(yīng)用程序利用了人們不愿閱讀具有大量專(zhuān)業(yè)術(shù)語(yǔ)的服務(wù)條款的習(xí)慣。調(diào)研機(jī)構(gòu)德勤公司在2017年的一項(xiàng)調(diào)查中進(jìn)一步凸顯了這一事實(shí)，調(diào)查發(fā)現(xiàn)，只有9%的用戶(hù)在接受服務(wù)條款前閱讀了條款。

這使得員工可以很容易地下載那些可能會(huì)使其企業(yè)處于危險(xiǎn)中的軟件。雖然不需要安裝SaaS工具，但它們也不是完全安全的。登錄屏幕和表單可能被用于現(xiàn)代網(wǎng)絡(luò)釣魚(yú)。

解決業(yè)務(wù)中的影子IT問(wèn)題

雖然影子IT可能是IT和全球安全團(tuán)隊(duì)的隱患，但它確實(shí)有一些優(yōu)點(diǎn)。而這些優(yōu)點(diǎn)就是影子IT仍然得以盛行的原因，也是許多企業(yè)對(duì)它放任不管的原因。那么，影子IT具有哪些優(yōu)點(diǎn)和缺點(diǎn)?

(1)影子IT的優(yōu)點(diǎn)

• 可以創(chuàng)造生產(chǎn)力。
• 影子IT可以讓員工為企業(yè)創(chuàng)新和創(chuàng)造新的工作流程。
• 它可以幫助識(shí)別當(dāng)前IT環(huán)境中的弱點(diǎn)。
• 影子可以允許簡(jiǎn)化軟件實(shí)現(xiàn)流程。
• 它允許企業(yè)靈活部署應(yīng)用程序。

(2)影子IT的缺點(diǎn)

• 它會(huì)讓企業(yè)面臨數(shù)據(jù)泄露和安全漏洞的風(fēng)險(xiǎn)。
• 如果企業(yè)試圖實(shí)施嚴(yán)格的隱性IT限制，可能會(huì)破壞部門(mén)之間的關(guān)系。
• 影子IT也可能導(dǎo)致一些許可軟件供應(yīng)商的合規(guī)性問(wèn)題。

避免影子IT引起的問(wèn)題

希望管理和減輕影子IT負(fù)面影響的企業(yè)必須首先執(zhí)行內(nèi)部審計(jì)。云安全應(yīng)用程序(例如微軟公司的云應(yīng)用程序)可以安全檢測(cè)未經(jīng)批準(zhǔn)的應(yīng)用程序和數(shù)據(jù)的使用。

但檢測(cè)影子IT只是其中的一部分。企業(yè)應(yīng)該努力解決問(wèn)題的根源。這可能包括優(yōu)化部門(mén)之間的溝通——特別是IT團(tuán)隊(duì)和其他部門(mén)之間的溝通。如果一個(gè)部門(mén)發(fā)現(xiàn)一個(gè)軟件解決方案可能是有益的，他們應(yīng)該愿意與IT團(tuán)隊(duì)分享。

首席信息官和IT員工應(yīng)該制定使他們能夠簡(jiǎn)化軟件評(píng)估和采購(gòu)的流程。他們應(yīng)該能夠給出非IT員工建議的特定工具不可行的充分理由。此外，如果IT人員拒絕采用推薦的工具，建議他們尋求更好的替代方案。

企業(yè)應(yīng)考慮培訓(xùn)非IT員工的網(wǎng)絡(luò)安全知識(shí)和意識(shí)，并且應(yīng)該提醒員工，安全優(yōu)先于生產(chǎn)力和創(chuàng)新，尤其是在這種環(huán)境下。

結(jié)論

企業(yè)的IT和網(wǎng)絡(luò)安全部門(mén)可能需要很長(zhǎng)時(shí)間才能找到適合的軟件并獲得許可。隨著IT的消費(fèi)化，下載應(yīng)用程序要快捷得多。這就是影子IT對(duì)許多員工如此有吸引力的原因，因?yàn)閱T工通常尋求快速實(shí)施的解決方案。

不幸的是，這也讓惡意人員或網(wǎng)絡(luò)攻擊者利用。統(tǒng)計(jì)分析系統(tǒng)應(yīng)用程序之所以成為如此受歡迎的目標(biāo)，是因?yàn)樗鼈兛梢陨纱罅坑欣蓤D的數(shù)據(jù)，供不法分子出售。因此，企業(yè)需要對(duì)所有與業(yè)務(wù)和員工相關(guān)的軟件進(jìn)行徹底審查，并對(duì)安全性采取零信任方法，這一點(diǎn)非常重要。