虽然影子 IT(或未经公司明确批准而使用软件、系统或设备)可能会使某些员工的工作变得更轻松,但这种做法也存在组织需要解决的重大缺陷。
在本文中,我们将介绍什么是影子 IT、为什么它对于数据泄露和数据泄露很重要,以及您的 IT 团队可以采取哪些措施来最大程度地减少其影响,包括使用影子 IT 检测和监控工具。最后,由于影子 IT 在某种程度上是不可避免的),我们将评估利用其潜力而不是完全消除它的可能性。
当员工或部门采用或部署技术来满足他们的需求但没有通知 IT 团队他们正在这样做时,就会出现影子 IT 。
影子 IT 的一些常见示例包括未经授权的:
例如,考虑访问个人 Dropbox 帐户、使用 Skype(当公司有 WebEx 时)或从拇指驱动器复制文件或将文件复制到拇指驱动器。
这些都是未经授权使用数字工具的例子,如果这些工具受到损害,可能会给您的组织带来风险。
由于云技术和软件即服务 (SaaS) 的快速发展,影子 IT 近年来变得更加普遍和复杂。
在许多情况下,业务部门也开始独立采用新的应用程序来推动数字化转型;例如,文件共享程序、项目管理工具和上述基于云的服务。
结果?大型企业30% 到 40%的 IT 支出是影子 IT,企业每年在不必要的 SaaS 许可证和工具上浪费超过 135,000 美元。更重要的是,2023 年的一份报告显示,所有 SaaS 应用程序中有65%是未经授权的应用程序(或 IT 部门尚未批准的应用程序)。
如前所述,影子 IT 是指未经 IT 部门明确批准而使用 IT 系统、设备、软件、应用程序和服务。由于其灵活性和便利性,它已被许多组织广泛采用。然而,虽然它会带来一定的风险,但如果管理得当,它也可以带来好处。
让我们看一些示例来了解影子 IT 的利用方式:
云服务:随着云计算的出现,员工越来越多地使用 Google Drive、Dropbox 或 OneDrive 等第三方云服务来进行文件共享和协作。这些工具可以让您从任何位置轻松访问数据并促进协作,但它们的使用通常没有 IT 部门的监督。
沟通工具:员工经常使用 Slack、WhatsApp 或 Microsoft Teams 等工具进行快速、非正式的沟通。这些平台可以通过允许即时通信来提高生产力。然而,如果在没有适当加密或安全协议的情况下共享敏感信息,它们也可能带来安全风险。
个人设备:员工经常使用个人设备进行工作,称为自带设备 (BYOD)。虽然这可以提高灵活性和工作与生活的平衡,但如果这些设备丢失、被盗或感染恶意软件,也可能会产生漏洞。
未经批准的软件:员工可以下载并安装 IT 部门不批准的软件。这可能包括从项目管理工具到图形设计软件。虽然这些工具可以帮助提高工作效率,但它们也可能会带来兼容性问题或安全漏洞。
硬件:除了软件之外,影子 IT 还可以扩展到硬件,例如个人路由器、存储设备,甚至员工可以安装以改善工作空间的服务器。如果此类设备配置或维护不当,可能会带来严重的安全风险。
影子 IT 给组织带来了看不见的严重安全风险,因为当员工使用未经授权的工具、应用程序、云服务或设备时,就会增加安全漏洞的可能性(事实上,IBM 的一项研究表明, 83%的受访者曾遭受过至少发生一起敏感数据遭到泄露的公司数据泄露事件)。
其中许多工具还缺乏强大的安全措施,例如强加密或依赖弱或默认凭据。
如果您的组织需要遵守特定法规和数据保护法(例如 CCPA 或 GDPR),影子 IT 也可能导致合规性违规,尤其是当您的 IT 部门无法查看或控制正在存储或共享的数据时。例如,我们知道,所有成功的网络攻击中有三分之一来自影子 IT 中存储的数据。
最后,影子IT通常很难与现有基础设施集成,这很容易导致兼容性问题、数据孤岛、系统碎片化、资源使用效率低下、成本失控和冗余。
资料来源: IT 领导者 2023 年需要了解的 124 多项网络安全统计数据
这些统计数据应该可以让您深入了解与影子 IT 相关的流行情况、风险和挑战。
影子 IT 是一个多层面的概念,可以根据所使用的技术类型、使用方式以及使用原因分为不同的元素。以下是影子 IT 的一些关键要素:
每个要素都会给组织带来不同的挑战和风险。然而,它们也代表着生产力、协作和创新机会的提高。了解这些要素可以帮助组织有效管理影子 IT,利用其优势,同时降低潜在风险。
防止这些问题的最佳方法是确定您的组织是否正在使用任何影子 IT。为此,您应该考虑的三个最佳实践是治理政策、IT 部门参与和员工教育。让我们快速更详细地了解每一项。
首席信息官 (CIO) 和 IT 团队在管理影子 IT 方面发挥着至关重要的作用。其一,首席信息官可以提供战略领导,定义政策、程序和框架。他们可以与 IT 团队合作,确保以受控且合规的方式使用技术资源。
影子 IT 的成本可能相当巨大,而且不仅仅限于财务方面。尽管实施了多年的现代化举措, CISO仍在努力解决这个老派问题。未经审查的软件、服务和设备可能会引入大量漏洞、不良行为者和恶意软件的入口点,从而带来相当大的安全风险。
考虑一下 Gartner 的数据,该数据发现 2022 年,41% 的员工购买、修改或创建了 IT 可见性之外的技术,预计到 2027 年,这一数字将攀升至 75%。同时,Capterra 的 2023 年影子 IT 和项目管理调查研究发现,57% 的中小型企业在其 IT 部门的职权范围之外进行了高影响力的影子 IT 工作。
在提供灵活性和用户便利性优势的同时,影子 IT 也带来了组织必须意识到的巨大成本。这些成本大致可分为直接成本和间接成本。
虽然影子 IT 的成本可能很高,但重要的是要记住,影子 IT 通常是出于对更好工具或更高效流程的需求而出现的。组织应该专注于有效管理影子 IT,而不是试图消除它。
我们已经确定影子 IT 带来了一些重大的安全和合规性挑战。因此,采取有效措施至关重要。
以下是一些防范影子 IT 风险的实用技巧:
尽管影子 IT 可能会带来许多安全风险,但请务必记住,它可能会给您的组织带来好处。关键在于利用它的力量而不是完全消除它。
请记住,影子 IT 可以使员工快速采用和利用适合其特定需求的工具和技术。例如,他们可以尝试最初不在组织路线图中的创新工具。
不同部门会有集中式 IT 系统可能无法完全满足的独特需求。影子 IT 可以让这些部门找到并实施专门的服务。那么,如何监控这些应用程序以确保不会牺牲安全性?
限制其使用的另一种方法是实施影子 IT 解决方案来检测和管理应用程序及其相关风险。
Uniqkey可以做到这一点以及更多。
利用影子 IT 力量的关键是将其暴露出来。作为我们企业密码管理解决方案的一部分,Uniqkey 提供所有公司服务的详细概述,使您的组织能够:
实施 Uniqkey 等影子 IT 工具可以帮助您适应和满足不断变化的技术要求,确保您可以评估所有新兴应用程序及其与现有基础设施的兼容性。
也发布在这里。