影子IT會對組織產(chǎn)生長期的負(fù)面影響。舉例說，它增加了成本，并使獲批準(zhǔn)的技術(shù)戰(zhàn)略得不到所需資金。Gartner稱，大企業(yè)中30%至40%的IT支出用于影子IT。更糟糕的是，團(tuán)隊常常為使用未經(jīng)授權(quán)的應(yīng)用程序支付過高的費(fèi)用，原因是他們不了解市場，也享受不到IT團(tuán)隊談妥的企業(yè)折扣。

更重要的是，影子IT加大了網(wǎng)絡(luò)安全風(fēng)險?？傮w而言，54%的IT專業(yè)人士認(rèn)為，由于影子IT，所在組織“面臨的數(shù)據(jù)泄露風(fēng)險大得多”。IBM發(fā)現(xiàn)，21%的組織因IT資源未經(jīng)批準(zhǔn)而遭遇過網(wǎng)絡(luò)安全事件。單單一起事件也可能是毀滅性的——數(shù)據(jù)泄露的平均成本達(dá)386萬美元。

影子IT的幕后推手

影子 IT 主要源于IT部門與用戶之間的無效溝通：竭力使用授權(quán)服務(wù)完成工作的用戶找到了更好的替代方法，自行部署服務(wù)或工具，以避免漫長而令人沮喪的審批流程帶來的麻煩。

比如說，如果營銷或會計團(tuán)隊通過不穩(wěn)定的VPN連接連入到公司系統(tǒng)很費(fèi)勁，會求助于未經(jīng)授權(quán)的云服務(wù)，以更有效地完成工作。但這使客戶或財務(wù)數(shù)據(jù)等敏感信息面臨暴露的風(fēng)險，并使組織面臨因違規(guī)而被處以巨額罰款的險境。比如說，違反GDPR面臨的罰款可能高達(dá)2210萬美元，占公司全球年收入的4%。同樣，軟件團(tuán)隊可能使用未經(jīng)授權(quán)的服務(wù)來開發(fā)某些功能，或者測試人員可能從未經(jīng)授權(quán)的虛擬服務(wù)器連入到公司VPN，這給組織的安全態(tài)勢造成了漏洞，從而使關(guān)鍵系統(tǒng)面臨網(wǎng)絡(luò)攻擊風(fēng)險。

另一種普遍存在的影子IT是在公司設(shè)備上安裝未經(jīng)授權(quán)的應(yīng)用程序。2021年Action1 調(diào)查發(fā)現(xiàn)，40%的IT專業(yè)人員擔(dān)心遠(yuǎn)程工作者往往這么做。由于IT人員無法管理自己不知道的軟件，這些應(yīng)用程序可能含有黑客渴望利用的漏洞。由于日益流行的勒索軟件即服務(wù)模式使技術(shù)不熟練的網(wǎng)絡(luò)犯罪分子很容易利用這些網(wǎng)絡(luò)安全弱點(diǎn)牟利，這顯得尤其危險。

第一步：深入了解影子IT

為您的IT團(tuán)隊提供遠(yuǎn)程監(jiān)測和管理(RMM)以及端點(diǎn)保護(hù)系統(tǒng)，使他們能夠?qū)崟r洞察遠(yuǎn)程和辦公室的端點(diǎn)，以便他們發(fā)現(xiàn)未經(jīng)授權(quán)的軟件和漏洞。使他們能夠遠(yuǎn)程部署、更新和刪除應(yīng)用程序，以及迅速連接到任何上網(wǎng)的設(shè)備，以堵住這些安全漏洞。

利用數(shù)據(jù)丟失防護(hù)(DLP)工具，讓IT團(tuán)隊注意試圖將敏感數(shù)據(jù)從安全企業(yè)環(huán)境移到任何未經(jīng)授權(quán)的云存儲的舉動，并使他們能夠及早采取行動，以免威脅變成泄密事件。最后，確保您的入侵防御系統(tǒng)(IPS)充分監(jiān)測網(wǎng)絡(luò)流量和VPN連接，并確保防火墻配置正確。

第二步：與用戶建立對話

定期征求員工的反饋，了解他們對組織IT服務(wù)的滿意度以及可以采取哪些措施來改進(jìn)IT服務(wù)。招聘新員工時，詢問他們習(xí)慣使用哪些軟硬件以及是否習(xí)慣使用公司當(dāng)前的工具。比如說，即使貴公司偏愛Windows，為青睞MacBook的員工購買MacBook是明智之舉，這降低了這些用戶在個人Mac上處理工作的誘惑。

如果您發(fā)現(xiàn)員工使用未經(jīng)授權(quán)的應(yīng)用程序，要詢問他們?yōu)槭裁催@么做。貴組織當(dāng)前的軟件缺少什么?然后提供一種有效但安全的替代方案。

第三步：為用戶提供所需的工具

一旦您揪出了組織內(nèi)的影子IT，對那些未經(jīng)授權(quán)的服務(wù)進(jìn)行徹底分析，評估組織是否需要出于安全和效率原因而清除影子IT，還是批準(zhǔn)授權(quán)使用。

比如說，如果一些用戶將公司數(shù)據(jù)存儲在其個人云帳戶中，考慮是否應(yīng)該將這些服務(wù)列為官方公司戰(zhàn)略的一部分。如果您有充分的理由不批準(zhǔn)這些服務(wù)，比如由于安全和合規(guī)風(fēng)險，應(yīng)幫助員工明白這些隱患，并建立一項流程，使他們能夠改而使用批準(zhǔn)的服務(wù)、有效地完成任務(wù)。

每當(dāng)您把一些工具或服務(wù)換成別的工具或服務(wù)，務(wù)必在過渡期間為員工提供支持，包括指導(dǎo)如何使用新的工具或服務(wù)，并告知實(shí)施時間表。

第四步：改變文化

通過提高網(wǎng)絡(luò)安全意識，確保所有用戶了解什么是影子IT及其帶來的風(fēng)險，并為他們提供避免影響IT的可行選擇。比如說，確保每個人都知道抵制注冊新服務(wù)的沖動，并提供簡化的工作流程，要求服務(wù)通過批準(zhǔn)的渠道來提供。

影子IT清楚地表明您當(dāng)前的IT工具和流程未能滿足用戶的需求。通過調(diào)查并采取上述步驟，組織可以糾正那些問題，并避免影子IT。好處明顯：不僅可以降低成本、提高安全性和合規(guī)性，還可以通過改進(jìn)重要流程和促進(jìn)生產(chǎn)力來提高競爭力。

原文標(biāo)題：??Four Practical Steps To Eliminate Shadow IT Permanently??，作者：Mike Walters