影子IT會(huì)對(duì)組織產(chǎn)生長(zhǎng)期的負(fù)面影響。舉例說(shuō)，它增加了成本，并使獲批準(zhǔn)的技術(shù)戰(zhàn)略得不到所需資金。Gartner稱，大企業(yè)中30%至40%的IT支出用于影子IT。更糟糕的是，團(tuán)隊(duì)常常為使用未經(jīng)授權(quán)的應(yīng)用程序支付過(guò)高的費(fèi)用，原因是他們不了解市場(chǎng)，也享受不到IT團(tuán)隊(duì)談妥的企業(yè)折扣。

更重要的是，影子IT加大了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。總體而言，54%的IT專業(yè)人士認(rèn)為，由于影子IT，所在組織“面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)大得多”。IBM發(fā)現(xiàn)，21%的組織因IT資源未經(jīng)批準(zhǔn)而遭遇過(guò)網(wǎng)絡(luò)安全事件。單單一起事件也可能是毀滅性的——數(shù)據(jù)泄露的平均成本達(dá)386萬(wàn)美元。

影子IT的幕后推手

影子 IT 主要源于IT部門(mén)與用戶之間的無(wú)效溝通：竭力使用授權(quán)服務(wù)完成工作的用戶找到了更好的替代方法，自行部署服務(wù)或工具，以避免漫長(zhǎng)而令人沮喪的審批流程帶來(lái)的麻煩。

比如說(shuō)，如果營(yíng)銷或會(huì)計(jì)團(tuán)隊(duì)通過(guò)不穩(wěn)定的VPN連接連入到公司系統(tǒng)很費(fèi)勁，會(huì)求助于未經(jīng)授權(quán)的云服務(wù)，以更有效地完成工作。但這使客戶或財(cái)務(wù)數(shù)據(jù)等敏感信息面臨暴露的風(fēng)險(xiǎn)，并使組織面臨因違規(guī)而被處以巨額罰款的險(xiǎn)境。比如說(shuō)，違反GDPR面臨的罰款可能高達(dá)2210萬(wàn)美元，占公司全球年收入的4%。同樣，軟件團(tuán)隊(duì)可能使用未經(jīng)授權(quán)的服務(wù)來(lái)開(kāi)發(fā)某些功能，或者測(cè)試人員可能從未經(jīng)授權(quán)的虛擬服務(wù)器連入到公司VPN，這給組織的安全態(tài)勢(shì)造成了漏洞，從而使關(guān)鍵系統(tǒng)面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

另一種普遍存在的影子IT是在公司設(shè)備上安裝未經(jīng)授權(quán)的應(yīng)用程序。2021年Action1 調(diào)查發(fā)現(xiàn)，40%的IT專業(yè)人員擔(dān)心遠(yuǎn)程工作者往往這么做。由于IT人員無(wú)法管理自己不知道的軟件，這些應(yīng)用程序可能含有黑客渴望利用的漏洞。由于日益流行的勒索軟件即服務(wù)模式使技術(shù)不熟練的網(wǎng)絡(luò)犯罪分子很容易利用這些網(wǎng)絡(luò)安全弱點(diǎn)牟利，這顯得尤其危險(xiǎn)。

第一步：深入了解影子IT

為您的IT團(tuán)隊(duì)提供遠(yuǎn)程監(jiān)測(cè)和管理(RMM)以及端點(diǎn)保護(hù)系統(tǒng)，使他們能夠?qū)崟r(shí)洞察遠(yuǎn)程和辦公室的端點(diǎn)，以便他們發(fā)現(xiàn)未經(jīng)授權(quán)的軟件和漏洞。使他們能夠遠(yuǎn)程部署、更新和刪除應(yīng)用程序，以及迅速連接到任何上網(wǎng)的設(shè)備，以堵住這些安全漏洞。

利用數(shù)據(jù)丟失防護(hù)(DLP)工具，讓IT團(tuán)隊(duì)注意試圖將敏感數(shù)據(jù)從安全企業(yè)環(huán)境移到任何未經(jīng)授權(quán)的云存儲(chǔ)的舉動(dòng)，并使他們能夠及早采取行動(dòng)，以免威脅變成泄密事件。最后，確保您的入侵防御系統(tǒng)(IPS)充分監(jiān)測(cè)網(wǎng)絡(luò)流量和VPN連接，并確保防火墻配置正確。

第二步：與用戶建立對(duì)話

定期征求員工的反饋，了解他們對(duì)組織IT服務(wù)的滿意度以及可以采取哪些措施來(lái)改進(jìn)IT服務(wù)。招聘新員工時(shí)，詢問(wèn)他們習(xí)慣使用哪些軟硬件以及是否習(xí)慣使用公司當(dāng)前的工具。比如說(shuō)，即使貴公司偏愛(ài)Windows，為青睞MacBook的員工購(gòu)買(mǎi)MacBook是明智之舉，這降低了這些用戶在個(gè)人Mac上處理工作的誘惑。

如果您發(fā)現(xiàn)員工使用未經(jīng)授權(quán)的應(yīng)用程序，要詢問(wèn)他們?yōu)槭裁催@么做。貴組織當(dāng)前的軟件缺少什么?然后提供一種有效但安全的替代方案。

第三步：為用戶提供所需的工具

一旦您揪出了組織內(nèi)的影子IT，對(duì)那些未經(jīng)授權(quán)的服務(wù)進(jìn)行徹底分析，評(píng)估組織是否需要出于安全和效率原因而清除影子IT，還是批準(zhǔn)授權(quán)使用。

比如說(shuō)，如果一些用戶將公司數(shù)據(jù)存儲(chǔ)在其個(gè)人云帳戶中，考慮是否應(yīng)該將這些服務(wù)列為官方公司戰(zhàn)略的一部分。如果您有充分的理由不批準(zhǔn)這些服務(wù)，比如由于安全和合規(guī)風(fēng)險(xiǎn)，應(yīng)幫助員工明白這些隱患，并建立一項(xiàng)流程，使他們能夠改而使用批準(zhǔn)的服務(wù)、有效地完成任務(wù)。

每當(dāng)您把一些工具或服務(wù)換成別的工具或服務(wù)，務(wù)必在過(guò)渡期間為員工提供支持，包括指導(dǎo)如何使用新的工具或服務(wù)，并告知實(shí)施時(shí)間表。

第四步：改變文化

通過(guò)提高網(wǎng)絡(luò)安全意識(shí)，確保所有用戶了解什么是影子IT及其帶來(lái)的風(fēng)險(xiǎn)，并為他們提供避免影響IT的可行選擇。比如說(shuō)，確保每個(gè)人都知道抵制注冊(cè)新服務(wù)的沖動(dòng)，并提供簡(jiǎn)化的工作流程，要求服務(wù)通過(guò)批準(zhǔn)的渠道來(lái)提供。

影子IT清楚地表明您當(dāng)前的IT工具和流程未能滿足用戶的需求。通過(guò)調(diào)查并采取上述步驟，組織可以糾正那些問(wèn)題，并避免影子IT。好處明顯：不僅可以降低成本、提高安全性和合規(guī)性，還可以通過(guò)改進(jìn)重要流程和促進(jìn)生產(chǎn)力來(lái)提高競(jìng)爭(zhēng)力。

原文標(biāo)題：??Four Practical Steps To Eliminate Shadow IT Permanently??，作者：Mike Walters