Вестник цифровой трансформации CIO.RU

7 способов оказаться в выигрыше, используя теневые ИТ
7 способов оказаться в выигрыше, используя теневые ИТ




17:25 10.05.2018  |  Джон Эдвардс | 1460 просмотров



Теневые ИТ вполне могут стать потенциально полезными и продуктивными технологиями. Как лучше удовлетворить скрытые потребности сотрудников – надежно и безопасно?

Теневых ИТ, под которыми понимаются программное обеспечение и сервисы, используемые сотрудниками втихаря, без получения от организации соответствующего разрешения, пугаться не стоит.

На протяжении нескольких десятилетий руководители ИТ-служб и ИТ-менеджеры искали способы надежно выявлять и блокировать теневые технологии, понимая, что недозволенные инструменты несут в себе угрозу безопасности и порождают уязвимости в технологических процессах.

Однако в последнее время все больше становится ИТ-лидеров, которые по-иному смотрят на теневые ИТ. К ним приходит осознание того, что изучение тайных практик помогает лучше понять потребности и предпочтения конечных пользователей. А это, в свою очередь, ведет к разработке и развертыванию авторизованного программного обеспечения и сервисов, повышающих производительность труда и удовлетворенность сотрудников.

Перечислим семь способов поставить под свой контроль теневые ИТ-инструменты, используемые внутри вашей организации.

1. Поймите причины использования теневых ИТ-инструментов

Многие сотрудники хорошо подкованы технически и охотно применяют устройства, программное обеспечение и приложения, помогающие им выполнять свою работу быстрее и лучше. «Они привыкли использовать потребительские платформы в своей повседневной жизни и хотят перенести присущие им простоту и легкость на рабочее место, – пояснил Джон Грин, вице-президент и главный технолог по безопасности компании Aruba, входящей в состав Hewlett Packard Enterprise. – Фактически любая навязываемая корпоративная система замедляет процессы или создает препятствия для круглосуточного и повсеместного доступа сотрудников к необходимым им ресурсам».

Леон Адато, возглавляющий в компании SolarWinds группу программного обеспечения управления инфраструктурой, поддерживает тех сотрудников, кто использует одну-две теневые ИТ, чтобы повысить эффективность и продуктивность своей работы. «Никто не пытается вмешиваться в отлаженный процесс, если он отвечает потребностям коллектива, – указал он. – Но если эти процессы замедляют или усложняют работу, то отдельные сотрудники или даже целые команды начинают искать другие пути. В конце концов, работников оценивают по результатам, а не по тщательности соблюдения принятых стандартов, особенно если стандарты эти мало чем могут помочь в достижении поставленных целей».

2. Изучите направления использования теневых ИТ-инструментов

Узнать, зачем используются теневые ИТ, проще всего путем обсуждения их ценности и конкретных задач, решаемых с их помощью. «Во многом это напоминает мероприятия по оценке новых технологий, проводимые нашими ИТ-подразделениями, – пояснил руководитель направления разработки облачной стратегии компании Netskope Шон Кордеро. – Если выясняется, что мы не можем предоставить требуемые возможности, вероятно, необходимо глубже изучить сценарии использования имеющихся средств и поискать решения, которые отвечали бы нуждам бизнеса».

Ярким примером теневых ИТ являются тайно используемые публичные облачные сервисы. Зачастую сотрудники делятся своими файлами, открывают многопользовательский доступ к документам или просто размещают важные файлы в хранилищах Dropbox и Google Docs. «Несмотря на то что эти платформы просты в освоении и уже получили повсеместное распространение, они подвергают риску важные данные, – предупреждает Грин. – Корпоративные облачные платформы обеспечивают более надежную безопасность и контроль, включая шифрование файлов, благодаря которому доступ к ним могут получить только уполномоченные лица. В крупных организациях принято внедрять свои собственные платформы для безопасного обмена файлами или применять адаптированные продукты».

3. Выясните, создают ли теневые технологии угрозу для безопасности

«Первым делом нужно выявить теневые ИТ, имеющиеся в организации, – рекомендует руководитель консультационных служб компании Grant Thornton Рой Николсон. – Есть много способов это сделать. Один из них – это мониторинг исходящего сетевого трафика с учетом того, что значительная доля теневых ИТ обычно включает программное обеспечение или инфраструктуру, предоставляемую в качестве сервиса. Проанализировав полученные результаты, можно приступать к оценке безопасности».

«Безопасность теневых ИТ следует оценивать точно так же, как и безопасность других типов программного обеспечения и сервисов, – советует руководитель Juniper Threat Labs Мунир Хабад. – Теневые ИТ не требуют каких-то других процедур оценки. Необходимо лишь выявить все риски, чтобы потом их можно было отследить и смягчить».

Неизвестные пользователи и устройства в корпоративной сети могут порождать бреши в системе безопасности и увеличивать риски. «Эффективным методом обнаружения теневых ИТ являются системы контроля за доступом к сети, предоставляющие в реальном времени информацию о каждом человеке, системе или устройстве, подключенным к корпоративной инфраструктуре, – указал Грин. – Инструменты анализа поведения пользователей и объектов (user and entity behavior analytics, UEBA) помогают обнаружить скрытые киберугрозы, преодолевающие периметр защиты, и предотвращать наносимый ими ущерб. Такие инструменты – отличное средство защиты активов компании».

4. Определите потенциальную ценность теневых ИТ, используемых в качестве производственных инструментов

Ценность теневых инструментов проще всего определить в ходе обсуждения технологий с пользователями. «Ваши сотрудники знают, как можно сделать компанию более эффективной и повысить производительность труда, лучше, чем любой поставщик, торговый представитель и специалист по безопасности или инфраструктуре, – заметил независимый архитектор систем безопасности Питер Ванльперен. – Относитесь к сотрудникам так же, как вы относитесь к клиентам и потребителям, предоставляйте им хорошие инструменты для работы, и они будут демонстрировать прекрасные результаты без всяких теневых технологий. Если сотрудники используют теневые инструменты, значит, у них есть на это весомые причины. Постарайтесь выяснить, почему пользователи обращаются к теневым технологиям и чего им не хватает. Лучше всего провести опрос, посвященный потенциальным новым инструментам, и дать людям возможность выбрать различные варианты. Избегайте слишком сложных инструментов».

5. Разработайте совместно с поставщиками теневых ИТ корпоративные версии инструментов

«Если ИТ-служба выявила серьезные причины для преобразования теневых ИТ в одобренный инструмент для бизнеса, организации следует начать с их разработчиками переговоры, – рекомендует вице-президент компании Logicalis по безопасным инфраструктурным решениям Рон Темске. – У многих поставщиков программного обеспечения есть разные версии их продуктов, и они готовы сотрудничать с организациями, чтобы адаптировать свои инструменты к их нуждам».

Еще лет 10-15 назад большинство потребительских инструментов, находивших применение в качестве теневых ИТ, не отвечало корпоративным стандартам безопасности и нормативным требованиям. «Сегодня с большинством таких инструментов ситуация обстоит совсем по-другому, – подчеркнул директор сайта G2 Crowd по исследованиям Майкл Фошетте. – Есть, конечно, и исключения, и в этом случае ИТ-служба должна предоставить аналогичный инструмент на замену … или вместе с поставщиком заняться улучшением его решений».

6. Внедрите технологии с сохранением изначальных преимуществ теневых версий

После принятия решения о возможности официального внедрения ИТ-служба должна озаботиться приведением теневой технологии к полностью приемлемому и безопасному состоянию. «Убедитесь в том, что базовые сценарии использования выполняются, а обо всем остальном можно не беспокоиться, – заметил Ванльперен. – Если желаемый инструмент не работает должным образом, то количество теневых ИТ увеличится».

Скорейший способ взять теневой инструмент под контроль ИТ-службы, обеспечить безопасность, сохранив при этом его первоначальную полезность, заключается в организации переговоров с поставщиком. Необходимо разъяснить ему специфические потребности организации, а затем, проведя тесты и экспериментальное развертывание, проверить, выполнил ли поставщик свои обещания. «Важно понимать также, что существуют теневые ИТ, для которых никогда не будут выпущены корпоративные версии», – предупреждает Кодеро.

7. Будьте бдительны

ИТ-служба должна внимательно следить за новыми теневыми технологиями, которые пускаются в ход, как только сотрудники приносят с собой соответствующие инструменты. С другой стороны, организация, выявившая ряд успешно внедренных теневых ИТ, должна понимать, что возможностей ее ИТ-службы в части быстрого и эффективного развертывания надежных решений явно недостаточно. «В результате возникает дефицит взаимодействия и, возможно, дефицит доверия, – пояснил Адато. – Ни один сотрудник, группа, подразделение или организация не смогут успешно действовать, пока не устранены соответствующие основополагающие препятствия».

И наконец, ИТ-службе не следует одобрять сомнительные теневые инструменты только потому, что они отвечают потребностям работника. «В случае возникновения бреши в системе безопасности и достаточно долгого простоя ответственность за инцидент ляжет на директора ИТ-службы или технического директора, – предупреждает основатель и глава консультационной компании Project Management Essentials Алан Цукер. – ИТ-служба должна обеспечить соответствие используемых теневых ИТ корпоративным стандартам».

– John Edwards. 7 ways to embrace shadow IT and win. CIO. MAY 3, 2018


Теги: Автоматизация предприятий Информационная безопасность CSO Теневые ИТ



На ту же тему: