Rogue applications fly under-the-radar and are unaffected by IT policies – often called shadow IT.

Что такое теневое ИТ?

Выведите ресурсы из тени

What is Shadow IT?

Возможно, вам знакомо выражение SH(adow)IT happens

В современном мире управление технологическими ресурсами иногда выходит из-под контроля. Организациям зачастую бывает нелегко понять какой их реальный портфель лицензий, на сколько правильно всё это используется и как обеспечивается защита. Это происходит потому, что в тот момент, когда пользователи устанавливают системы и приложения без явного одобрения ИТ-отдела, появляются теневые ИТ-ресурсы.

Отправить заявку

Почему это проблема?

Теневым считается любое приложение для бизнеса, установка которого не была одобрена центральным ИТ-отделом или отделом информационной безопасности. Вероятнее всего, ИТ-отдел не вел его закупку, не знает о нем и не обеспечивает его поддержку. И это проблема, поскольку такие приложения несут реальную угрозу информационной безопасности предприятия, из-за возможных сбоев в его работе или из-за включённых в него угроз. Кроме того, наличие такого ПО может повлечь за собой неожиданные финансовые потери, ведь правообладатель может обратиться с иском о возмещении стоимости таких лицензии. 


В любом случае всё то, что бесконтрольно существует в периметре ИТ инфраструктуры компании – не может не вызывать беспокойство.

 

  • Закон Сарбейнса — Оксли
  • Система «Базель II»
  • Закон Грэмма — Лича — Блайли
  • Цели контроля для информационных и смежных технологий
  • Федеральный закон об управлении информационной безопасностью, 2002 г.
  • Принципы бухгалтерского учета (GAAP)
  • Международные стандарты финансовой отчетности (МСФО)
  • Библиотека ITIL
  • Стандарт защиты информации в индустрии платежных карт
  • Комплексное управление качеством
  • Генеральный регламент о защите данных (GDPR)

 

Roughly 90% of all installed applications are unknown to IT departments.

Ignoring Shadow IT is no longer an option.

По оценкам SoftwareONE, ИТ-отделам компаний ничего не известно примерно до  90% всех установленных приложений — и это касается даже финансовых, государственных и медицинских организаций, для которых действуют строгие регламенты. Учитывая разнообразие нормативных требований, принятых по всему миру, очень важно, чтобы ваша компания не оставляла без внимания теневое ИТ, а своевременно принимала соответствующие меры. Теневое ИТ может осложнить соблюдение нормативных требований, например, в случаях, когда сотрудник хранит корпоративные данные в личной учетной записи Dropbox или Google Drive.

Со сторонними приложениями, которые «пролетают ниже радаров» и не подпадают под действие политик ИТ и информационной безопасности, связан ряд правовых рисков и рисков для безопасности организации, поскольку на такие приложения не распространяется действие мер безопасности, применяемых в отношении поддерживаемых технологий.


IT and Information Security team are responsible for the risks involved from Shadow IT.

Кто в этом участвует?

По оценкам консультационного агентства CEB, 40 % затрат на ИТ в компании не связано с ИТ-отделом. Быстрый рост, как правило, обусловлен качеством потребительских приложений в облаке — таких как приложения для обмена файлами, социальные сети и инструменты для совместной работы. Кроме того, на рост в большой степени влияет развертывание SaaS-приложений корпоративного класса для различных направлений бизнеса. Во многих случаях  такие приложения помогаю повысить адаптивность бизнеса и производительность труда, и именно поэтому они получили такое широкое распространение. Однако ИТ-отдел и отдел информационной безопасности по-прежнему несут ответственность за обеспечение безопасности и соблюдение нормативных требований при выгрузке сотрудниками бизнес-данных в сервисы заказчиков.


Кто несет ответственность за риски, связанные с использованием теневых приложений?

ИТ-отдел и отдел информационной безопасности. Хотя ИТ-отдел не отвечает за физическую инфраструктуру или управление приложениями, он в любом случае несет ответственность за защиту корпоративных данных при их отправке в облако. И это ставит ИТ-специалистов в затруднительное положение. Они могут, конечно, сказать решительное «нет» тем сотрудникам, которые используют в работе облачные приложения. Они могут даже заблокировать доступ к облачным приложениям, используя для этого корпоративный межсетевой экран или веб-прокси. Однако мы не рекомендуем так поступать. К сожалению, сотрудники легко могут заменить любое заблокированное приложение другим — менее известным и, возможно, менее безопасным.

Нужно сказать, что вопрос теневого ИТ вызывает неоднозначные чувства. Некоторые руководители ИТ-отделов боятся, что, если разрешить использование теневого ПО, конечные пользователи начнут создавать изолированные хранилища данных и это заблокирует свободный поток информации в масштабах организации.

40% of IT spending at a company occurs outside the IT department.

Что же делать с теневым ИТ?

 Специалисты SoftwareONE считают, что вы никогда не сможете в полной мере оценить масштаб распространения теневых приложений в организации без предварительной надлежащей инвентаризации ИТ-среды с помощью инструментов сканирования. Однако вы можете принять следующие меры:

Совместная работа

Пользователи хотят работать продуктивно, и специалисты ИТ просто обязаны время от времени предлагать им новые инструменты — стать «драйвером бизнеса», вместо того чтобы отклонять все запросы, которые не относятся к одобренным бизнес-приложениям.

Таким образом, вы сможете свести к минимуму риски, связанные с теневыми приложениями. Также нужно регулярно взаимодействовать с пользователями, понимать, что их беспокоит, и знать, какие технологии они считают полезными для решения своих проблем. ИТ-отдел должен содействовать формированию культуры проактивного обслуживания, чтобы сократить объем теневых приложений, а также хорошо понимать, что нужно другим отделам и пользователям для повышения производительности.

Управление            ИТ-ресурсами

Очень важно всегда понимать и контролировать, какие технологии используются и какие данные обрабатываются. ИТ-отдел должен составить предварительно утвержденный каталог программного обеспечения, из которого пользователи могут выбрать необходимое — это позволит не терять время, ожидая одобрения того или иного приложения. Работая вместе с пользователями, ИТ-отдел сможет составить такой каталог, регулярно добавляя туда необходимое ПО. Отдел информационной безопасности должен применять автоматизированные средства контроля и обнаружения, чтобы отслеживать установку программного обеспечения.


Соблюдение нормативных требований

Соблюдение нормативных требований всегда остается главным поводом для беспокойства при наличии теневых приложенийособенно читывая, все требования законодательства по защите персональных данных. 
В этих обстоятельствах, ИТ-отделу необходимо строго контролировать доступ к данным, чтобы обеспечить их надежную защиту. Управление доступом и мониторинг привилегированного доступа имеют критически важное значение. В защите данных критически важную роль играют и другие аспекты, в том числе резервное копирование, актуализация версий и устранение уязвимостей. Когда пользователи устанавливают и используют неутвержденное программное обеспечение, их необходимо информировать о рекомендациях по безопасности и возможных серьезных последствиях их действий.


И даже при всем этом теневое ИТ вовсе не так ужасно.  Если организовать грамотное управление и мониторинг за теневым ИТ, то , оно может стать даже источником инноваций. Новые или более молодые сотрудники должны иметь доступ к выбранному программному обеспечению, которое нужно им, чтобы эффективнее справляться с работой и приносить прибыль компании. Вместо того чтобы блокировать даже намек на теневое ПО, ИТ-специалистам стоит организовать процесс управления такими ресурсами за счет непрерывного использования инструментов сканирования и управляемых сервисов. Такие инструменты есть в портфеле решений SoftwareONE и мы всегда готовы познакомить вас с ними и помочь выбрать наиболее подходящие именно вам и под ваши задачи.

6 важнейших моментов в процессе контроля теневого ПО

Существует шесть основных путей, по которым теневые приложения могут попасть в организацию. 

#1 Программное обеспечение как услуга (SaaS)

Пользователям доступно огромное количество разнообразных облачных приложений, и они хотят использовать их для решения бизнес-задач. ИТ-специалисты  частно не знают о том, что на самом деле используется в организации и что в итоге может привести к проблемам с безопасностью и соблюдением нормативных требований. ИТ-отделы лишь сейчас начинают понимать, что, когда один пользователь регистрируется в каком-то сервисе — это еще не проблема. Проблема возникает, когда это делает большинство.

#2 Общедоступное облако

По данным отчета McAfee о внедрении облачных технологий и рисках, начиная с 2019 года конфиденциальные данные содержатся в 21 % от всех файлов в облаке, причем за последние два года количество случаев, когда общий доступ к таким данным предоставлялся посредством открытого, общедоступного канала, выросло на 23 %. В отчете также сказано, что 5,5 % корзин AWS S3 содержат «разрешения на считывание», в результате чего они становятся общедоступными. В среднем каждая организация использует 1935 уникальных облачных сервисов, и это число с каждым годом увеличивается на 15 %. В отчете отмечается, что, как ни печально, большинство организаций считают, что на самом деле используют не более 30 таких сервисов.

#3 Локальные приложения

Может показаться, что в локальной среде довольно легко заблокировать нежелательные приложения, однако это вовсе не панацея. Например, даже макросы, которые используют сотрудники в FileMaker Pro или Excel, могут представлять угрозу для организации. Кроме того, не стоит забывать о мобильных приложениях, поскольку их даже сложнее контролировать, особенно если пользователям разрешено использовать собственные устройства (модель BYOD).


#4 Безопасность

Такие облачные операции, как создание зарплатных ведомостей, работа над проектами, резервное копирование и составление бизнес-планов, создают ряд серьезных проблем в области безопасности, и организации отчаянно пытаются их решить: теневые ИТ в облаке. И даже в этом случае есть ряд значимых преимуществ: экономия затрат, простота установки, гибкость и мобильность. ИТ-отдел редко знает наверняка, какое именно ПО используется в организации, и это может привести к проблемам с безопасностью и соблюдением нормативных требований.

#5 Требования по защите персональных данных 

Как и в случае с SaaS, пользователи могут самостоятельно принять решение о регистрации подписки на облачные сервисы, однако риск уязвимостей в этом случае значительно возрастает, а ограничения в прозрачности не позволяют ИТ-отделу обеспечить надлежащую поддержку пользовательской платформы.

#6 Политики

В локальной среде довольно легко заблокировать нежелательные приложения, однако это вовсе не панацея. Как быть с макросами, которые пользователи создают в FileMaker Pro и Excel?

Специалисты SoftwareONE обладают необходимыми знаниями и опытом, чтобы обеспечить поддержку заказчиков в их стремлении устранить или хотя бы сократить объем теневых ИТ-ресурсов.


Мы помогаем ИТ-компаниям предотвращать несанкционированную установку и использование, задействуя соответствующие политики и процессы. Также мы помогаем выявлять практически все возможные нарушения.

Внедрение эффективных процессов и инструментов контроля для борьбы с теневым ИТ всегда предполагает активное использование инструментов управления изменениями, которые играют важную роль, поскольку в конечном счете все направлено на изменение поведения сотрудников. Наши консультанты помогут разработать процессы, чтобы предоставить заказчикам удобный и безопасный интерфейс для запроса ПО. После анализа имеющихся инструментов и данных о затратах мы разработаем процедуры, которые позволят значительно сократить время выполнения заказа. Организовав соответствующую кампанию по информированию пользователей и получению обратной связи, вы сможете добиться того, чтобы конечные пользователи начали соблюдать установленные стандарты, а это, в свою очередь, поможет эффективно решать, какие именно продукты будут использоваться, — и в конечном счете избавиться от теневого ИТ.

Поскольку ни один процесс и ни один инструмент контроля не обеспечивают стопроцентную эффективность, SoftwareONE дает заказчикам возможность измерять показатели и выявлять проблемы. Разработав стратегию совместно с отделом безопасности, отделом управления лицензиями и отделом управления ИТ-инфраструктурой, организации смогут более эффективно определить, как теневое ИТ будут влиять на используемые в них программные средства. Учитывая наличие мобильных, локальных приложений, модели XaaS (все как услуга) и центров обработки данных, единого решения быть не может — вместо этого следует использовать набор инструментов и процессов, охватывающих всю программную среду. И наконец, после сканирования всей среды мы поможем вам оценить риски и определить стратегии их минимизации. Наши эксперты используют различные источники данных, чтобы выявить существующие угрозы для имеющихся ресурсов — связанные с соблюдением нормативных требований, стандартов по защите персональных данных и кибербезопасности.


Visibility Across Your Software Estate

Download our latest guide on how to effectively manage Shadow IT & better protect your software assets.

Download eBook Today

The Chronicles of Shadow IT

Статьи по теме

Форма обратной связи

Если у вас остались вопросы или вы хотите получить дополнительную информацию по предложению, заполните эту короткую форму, и наши специалисты свяжутся с вами в ближайшее время.

Отправить заявку