1. 我是CIO首页
  2. 观点

CIO管理影子IT活动的14个技巧

CIO管理影子IT活动的14个技巧插图(1)

管理或当前管理IT运营的CIO最有可能遇到他们或团队成员发现部门外的“流氓”系统或应用程序的情况。在云技术成为IT规范之一之前的几年中,用户可能已经决定他们需要访问应用程序或其他IT资源,并且由于某种原因,他们对IT的响应不满意。对于某些用户,IT响应可能被认为是“照常营业”,但是对于其他用户,这成为了走出IT部门并建立自己的产品的动力。

这是影子IT的一个示例,在今天,影子IT仍在不断增加,特别是随着易于访问的基于云的服务的出现。它被认为是组织运营的主要风险,因此,管理影子IT必须纳入当今的总体风险管理活动中。

影子IT的影响

考虑到IT的复杂性,尤其是在互联网时代,了解和有效管理IT资源(内部和外部)的能力变得越来越重要。在这里,我们将检查有关影子IT的情况,并提供指导以确保CIO可以识别和减轻流氓活动。

大多数CIO的主要目标是运行平稳,合规,安全且无风险的IT组织。在安全问题上,他们关注任何威胁信息机密性,完整性和可用性的情况。未经批准的系统安装,无论是在现场还是通过云技术进行安装,都可能导致未经授权访问内部系统。从风险管理的角度来看,影子IT对CIO及其网络安全和运营团队提出了独特的挑战,应该成为这些活动的关键要素。

使用软件即服务(SaaS),基础架构即服务(IaaS)和平台即服务(PaaS)的基于云的系统的增长为影子IT活动带来了巨大的机遇。这是作为影子IT用户传统资源的现成硬件和软件应用程序之外的内容。只要Internet连接可用,影子IT用户就可以以最小的难度访问几乎任何基于云的资源。

影子IT活动带来的风险

要有效地监视和管理具有各种固有风险和漏洞的大型且多样化的IT基础架构,就具有挑战性。例如,使用影子IT可能会发生以下情况:

  • 引入可能导致数据丢失以及对数据管理和数据完整性造成其他威胁的漏洞;
  • 向内部网络引入恶意代码;
  • 未经授权访问数据可能会阻止数据管理员执行其工作;
  • 未经授权擅自更改数据;否则应防止;
  • 无法正确修补可能有错误或其他问题的应用程序;
  • 潜在的合规性问题,特别是对于受监管的组织,可能会受到罚款和诉讼;
  • 使用未经IT部门检查和验证的系统可能对业务造成负面影响;和
  • 网络安全风险,可能有助于黑客和其他网络罪犯进行远程访问。

影子IT的好处

使用和管理影子IT系统和技术的最常见原因是,获得和使用的工具比IT提供的工具更适合具有独特要求的用户。用户自然应该首先询问IT部门是否可以帮助满足用户的要求。理想情况下,IT部门应该利用软件开发生命周期(SDLC)提供公认的结构来识别,开发和部署合适的选项。这通常可能需要大量时间才能解决SDLC中的所有步骤。无论出于何种原因,用户仅出于使事情快速发展的原因,就可能在提供业务产品时意识到IT的运作方式,并决定采用IT并获得自己的产品。从积极的方面来看,流氓系统可能比IT部门提供的工具为公司带来更大的利益,并且公司甚至可以实现积极的成果,例如获得竞争优势。 

管理影子IT活动的14个技巧

在管理和控制影子IT实施之前,有必要对其进行识别。以下是有效管理影子IT的14个技巧。

  1. 定期运行网络嗅探程序,以检测不在已知IP地址列表中的IP地址。
  2. 维护IT基础架构中所有资源的最新清单,并使用网络清单技术或其他相关应用程序定期对其进行更新。
  3. 确保CIO的高级领导团队成员密切注意可能的影子安装;将此作为工作人员会议上的定期议程项目。
  4. 查看入站和出站的网络防火墙活动,以识别任何可疑流量以进行进一步分析。
  5. 审查入侵检测和入侵防御系统(IDS / IPS)的活动,以识别异常以进行进一步分析。
  6. 向员工发送定期消息,告知可能存在的影子IT活动,并将任何可疑活动报告给IT管理层。
  7. 向高级管理层简要介绍任何可疑的IT活动以及正在采取的补救措施-确保它们支持减轻影子IT的举措。
  8. 请与当前已签约的云服务组织联系,以告知他们有关未授权IT的任何顾虑,并告知他们是否意识到任何可疑活动。
  9. 确定基于云和其他托管服务提供商的影子IT分析功能。
  10. 建立处理影子IT活动的策略和协议,并与人事和法律部门进行审查。
  11. 对被认定为从事影子IT活动的员工制定处罚措施;与人力资源协调。
  12. 如果存在BYOD(自带设备)策略,请考虑对其进行更新以解决影子IT活动。
  13. 在进行IT审核之前,请准备好应对审核员是否存在影子IT活动的潜在问题,因为它们存在潜在的安全风险和访问控制问题。
  14. 检查可从云访问安全代理(CASB)获得的影子IT检测工具。

本文为作者 三石 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论