1 什么是影子IT
影子IT,又叫做灰色IT,简单的说就是不在IT部门管理的IT资产。
由于IT部门没有识别到此类资产的存在,就造成了流程和管控与组织整体策略不能保持一致,对IT及整个组织构成风险。
影子IT的产生绝大多数都是因为IT作为服务没能跟上业务的需求而造成的,例如存储空间,数据共享,软件工具等不能满足工作需要,员工采取非官方的措施来完成工作。
BYOD不属于影子IT,前提是IT部门已经意识到个人电脑和手机设备会出现在日常工作中(不管你是否对其做了风险控制措施,即便是接收风险)。但如果IT部门没有意识到BYOD所带来的风险,那它就属于影子IT的一种,因为影子IT是不受管控的风险。
影子IT会给组织带来风险,是不应该存在于组织内的。但它的存在说明了现有的政策需要完善,员工的正常工作需求没有公开化,只能在影子中,通过不能见光的方式完成工作。
作为IT人员要用积极的态度来面对,帮助业务部门明确IT需求,满足IT需求。不能责备或惩罚员工,否则,他们将不会说出因为管理漏洞而未经批准的做法,使潜在的风险越来越大。
2 影子IT有哪些类型
a. 非托管设备,最常见的就是各种非IT部门管控的设备。
包括,个人电脑、手机、物联网设备、Wifi接入点等
b. 非托管服务,IT部门未知的各类泛IT服务
主要就云服务和软件的外包开发服务。云服务SaaS已经可以直接作为商品提供给业务部门使用,这就会造成直接跳过IT部门的情况。同样,由于IT部门的人力和排期紧张,会有业务部门直接将业务需求打包给外部开发商,同样跳过了IT部门的管理。
只从业务角度出发,没有IT部门的参与,很容易疏忽IT风险评估和控制手段,引入了风险。
3 如何避免影子IT的存在
a. 提高员工的意识,影子IT的引入和使用都是源于员工的工作需求,他们最终的目的是为了完成自己的工作,所以疏忽了公司的政策要求,或者说绕过这些规定。
b. 简化流程,疏解IT的各种限制,已满足员工的正常工作需求。例如使用公司内部的IM文件传输工具来替代微信。这里说的疏解并不是完全放开,而是在受控的前提下。
c. 与业务部门多沟通,了解业务部门对IT的需求和期待,形成良好的网络安全文化。毕竟在组织中IT是为业务服务的。
d. 一些技术措施可以帮助识别影子IT的存在,包括802.1X网络准入控制,资产管理系统,网络扫描仪,云访问安全代理CASB,安全访问安全边缘SASE,统一端点管理UEM。