Rogue applications fly under-the-radar and are unaffected by IT policies – often called shadow IT.

影子IT是什么

让您的资产远离影子

影子IT是什么

您可能非常熟悉影子IT这个表述

在当今的IT世界中,技术资产的管理和控制有时是失控的。企业很难弄清楚他们购买了什么,部署了什么,是否正确使用了这些资源,以及如何使用和保护这些资源。这是因为当用户在未经IT部门明确批准的情况下在企业内安装了系统和应用程序,导致影子IT的出现。

现在您明白了——马上行动吧

这为什么是个问题呢?

因为影子IT是说在商业过程中任何应用的使用,是不经由公司IT部门或者信息安全部门管控的。很有可能IT部门并没有部署,甚至没有意识到也并不支持。这导致了非官方的数据流动增加,更难遵循合规准则。

  • 萨班斯奥克斯利法案
  • 新巴塞尔协议
  • 金融服务现代化法案
  • 信息及相关技术的控制目标
  • 联邦信息安全管理法案
  • 国防联邦收购法规补充
  • 公认会计原则
  • 医疗电子交换法案
  • 国际财务报告准则
  • 信息技术基础架构库
  • 第三方支付行业(支付卡行业PCI DSS)数据安全标准
  • 全面质量管理
  • 通用数据保护条例
Roughly 90% of all installed applications are unknown to IT departments.

忽视影子IT不再是一个选项

SoftwareONE估计, that 大概有90  的应用程序安装是IT部门所不知道的——即使是高度监管的经济、政治和医疗健康组织。随着各式各样的合规方案在全球范围内生效,您的企业不再任由影子IT的放任,并开始行动是非常重要的。例如,一个员工把企业的数据存储在私人Dropbox或是Google Drive账户中,影子IT会成为合规隐患。

不被IT部门和信息安全策略检测管控的恶意应用程序,会造成法律和安全上的风险。因为他们不受技术支持的安全手段所控。

IT and Information Security team are responsible for the risks involved from Shadow IT.

谁会参与?

咨询公司CEB估算,企业有40%的IT开销是在IT部门以外的。开销的快速增长通常是因为云使用的应用数量,如分享文件的应用、社交媒体和协作工具,也因为企业级的SAAS应用的部署。很多方面,影子IT使得业务更灵活,员工更具有生产效率,这也是为什么影子IT那么的普遍。然而,IT和信息安全部门仍然有责任来确保企业的员工,他们上传的客户服务数据是合规的。

谁应该为影子IT的风险负责?

IT部门和信息安全部门。当IT部门不再负责基础设施建设或管理应用,他们有责任去确保上传到云端的公司数据是安全的。这就让IT部门陷入困境,他们也许会禁止员工使用云服务,甚至使用公司的防火墙和服务器去限制他们访问云应用。我们是不推荐这样的。很不幸的是,禁了一个应用,员工会找到另一个更不为人知,甚至更有风险的服务来代替。

查看我们关于影子IT的编年史,以及怎么进行管理的电子书。

务必注意,对影子IT的看法是混杂的。有的IT主管会害怕假如允许了影子IT,实际用户会造成数据孤岛,阻断企业内信息的自由来往。

40% of IT spending at a company occurs outside the IT department.

可以对影子IT做什么?

SoftwareONE认为,如果是在一个无法使用扫描工具妥善存储工作环境的企业,是不能探寻影子IT真容的。然而,您可以按照以下步骤:

协同工作

假如要让用户变得更具生产效率,有时候IT部门必须为他们提供更多选择,要作为一个“业务支持者”而不是否定所有商业应用以外的请求。

因此,为了避免影子IT风险,需要经常和用户见面,聆听他们的顾虑和他们认为能够帮助解决问题的技术。IT部门必须鼓励使用积极的服务文化,去阻止影子IT,必须去理解部门和员工的需求来提升生产效率。

管理软件资产

及时管控技术和数据的使用是基础。IT部门必须有一本预先批准的软件目录供人选择,而不是等待别人的批准申请。通过和用户的共同协作,IT部门可以定期维护相关的软件。信息安全部门必须有一个自动化的检测,来跟踪和监管软件的安装,可以进行记录和调查。

保持合规

影子IT的一个关键顾虑就是合规,如GDPR(通用数据保护条例)要求企业保护客户的数据。IT部门对数据访问必须严格控制,确保数据的安全和准确。管理访问权限和监控特许访问是至关重要的。其它方面包括,备份、维持最新版本、处理易于攻击的等等都是在保护数据方面至关重要的。当用户安装和使用未批准的软件时,他们应该收到安全和严重行为的提醒。

正如一开始所说的,影子IT并不是那么一无是处——如果可以有效的管控,甚至可以变为创新的来源。新员工或者年轻的员工也许更喜欢用一些他们认为对公司有用的软件。IT部门需要建立一个管理的过程,通过持续使用扫描工具和SoftwareONE的托管服务,而不是一味地封锁影子IT。

六个影子IT的检查点

以下是影子IT悄悄潜入您的企业的六大入口。

1、软件及服务(SaaS)

用户有各式各样的云应用来帮助他们完成工作。IT部门通常不会知道他们用了什么,和他们会对企业安全和合规带来什么问题。IT部门开始意识到,不是单个用户注册了某个服务——是很多用户都在用。

2、公有云

截至2019年,据迈克菲(McAfee)的云采用和风险报告,云端上21%的文件都包括了敏感数据而这些数据是在过去两年中开放、公开访问的。报告显示,5.5%的AWS S3 储存桶的“全球阅览”权限,让他们暴露于公众。平均来说,企业用了1935个独有的云服务,而这个数字每年递增15%。报告同样说出,很不幸的是其中只有使用大概30个。

3、本地应用

在一个本地环境当中,也许封锁不想用的应用是很简单的,是因为没有把它当成一个完整的解决方案。举个例子,员工在FileMaker Pro或者Excel里使用的宏也有可能对企业造成威胁。

同样的,想想移动应用,他们是更难控制的,更不用说用户自带的设备了。

4、安全性

云端储存的一些活动,如工资条、项目、备份和企业计划等,都会为企业带来具挑战性的安全问题:云端上的影子IT。尽管利益是巨大的:成本缩减、容易设置、灵活性和移动性等等,但IT部门一般不太清楚用的是什么,以及他们会带来的安全和合规问题。

5、GDPR(通用数据保护条例

就好像SaaS,用户可以决定他们是否订阅云服务,但他们的风险是更大的,有限的可见度也让IT部门很难支持用户平台。

6、策略

在一个本地环境当中,也许封锁不想用的应用是很简单的,是因为没有把它当成一个完整的解决方案。举个例子,员工在FileMaker Pro或者Excel里使用的宏也有可能对企业造成威胁。

SoftwareONE的专家准备充分,帮助消除或减少影子IT。

我们以正确的流程和策略,帮助IT去阻止未授权的安装、消费以及帮助他们检测攻击。

设置正确的流程和管理来防止影子IT是在变更管理中的一个重要组成部分,因为最终我们是要改变用户的行为。咨询顾问可以帮助您定制流程,提供便捷的的软件需求经验给客户。通过评估您的工具环境和数据使用,我们可以制定流程来大幅减少交货周期。有了企业内部沟通活动,实际用户最终会使用哪些规范的流程,确保了会用的哪些应用从而根本上杜绝影子IT。

因为流程和管理不会占用100%的工作时间,SoftwareONE可以让客户推算和发现他们哪一步出了问题。根据安全性制定策略,软件资产管理和IT基础设施企业可以更好的决定影子IT如何影响他们的软件资产。考虑到应用、本地、Xaas(一切皆服务)和数据中心,不只是单一的解决方案,而 是一套的工具和流程来覆盖整个软件环境。最后,一旦您开始扫描环境,我们能够帮助您决定风险和减轻策略。我们的专家将使用不同的数据来源去辨识对您的威胁,不管是合规性、GDPR或是网络安全相关问题。

软件资产清晰可见

下载我们关于如何有效管理影子IT和更好的保护软件资产的最新指南。

马上下载电子书

影子IT编年史

相关文章

Get in touch with us

Contact us today by filling out this short form and our experts will get back to you promptly.

Contact Us