Сегодня во многих организациях распространена модель гибридного рабочего места, которая предусматривает сочетание работы из дома и офиса. Такой подход требует от IT-специалистов применения дополнительных мер для минимизации потенциальных рисков безопасности. В частности, особого внимания требует проблема использования сотрудниками программного обеспечения и устройств, которые не контролируются ИТ-отделом.
Что такое теневые ИТ
Под теневыми ИТ подразумевается любое приложение, решение или оборудование, используемое сотрудниками без согласия и контроля со стороны ИТ-отдела. Иногда это технологии, которые просто покупаются и используются без ведома ИТ-специалистов. Но чаще это общедоступные решения, которые могут создать дополнительные риски для организации. Существуют разные аспекты теневых ИТ, в частности:
- файловые хранилища для удобства работы сотрудников;
- инструменты для повышения продуктивности и управления проектами, которые могут увеличивать эффективность совместной работы и способность сотрудников выполнять повседневные задачи;
- обмен сообщениями и электронная почта для более удобного общения как с коллегами, так и другими пользователями;
- облачные системы IaaS и PaaS, которые могут быть использованы для размещения несанкционированных ресурсов.
Почему это происходит
Теневая ИТ-среда, как правило, возникает из-за того, что сотрудникам надоели «неэффективные корпоративные инструменты», якобы мешающие их продуктивности. В связи с пандемией многие организации вынуждены были разрешить персоналу использовать личные устройства для работы из дома. Это также привело к загрузке неразрешенных приложений.
По результатам недавнего исследования, 76 % ИТ-специалистов признали, что во время пандемии в приоритете была непрерывность бизнес-процессов, а не безопасность. При этом 91 % заявили, что ощущали давление в вопросах, которые ставят под угрозу кибербезопасность компании.
Многие пользователи недостаточно осведомлены о корпоративной политике безопасности. В исследовании 2020 года утверждается, что больше половины удаленного персонала использовало приложения, не предназначенные для работы на корпоративном устройстве, а 66 % загружали корпоративные данные в такие программы. При этом 64 % сотрудников создали хотя бы одну учетную запись без участия ИТ-специалистов. Стоит отметить, что около трети пользователей считают, что могут избежать негативных последствий в случае использования сторонних приложений.
В чем опасность теневых ИТ
В начале этого года американская компания по отслеживанию контактов могла подвергнутся утечке данных 70 000 пользователей после того, как сотрудники использовали аккаунты Google для обмена информацией как несанкционированный канал совместной работы.
Потенциальные риски теневых ИТ для организаций:
- отсутствие контроля ИТ-специалистов означает, что программное обеспечение может быть необновленным или неправильно настроенным (например, со слабыми паролями), ставя под угрозу пользователей и корпоративные данные;
- отсутствие решений по безопасности, защищающих теневые ИТ-активы или корпоративные сети;
- невозможность контролировать случайные или умышленные утечки или обмены данными;
- риск потери данных, поскольку корпоративное резервное копирование не охватывает теневые ИТ-приложения и данные;
- финансовый и репутационный ущерб из-за серьезных нарушений безопасности.
Как бороться с теневыми ИТ
В первую очередь следует понять масштаб проблемы и принять меры по избежанию потенциальных рисков, в частности:
- Разработать комплексную политику для работы с теневыми ИТ, включая список разрешенного и запрещенного программного и аппаратного обеспечения, а также процесс получения разрешений.
- Призывать сотрудников к открытому диалогу, рассказывая им об негативных последствиях использования теневых ИТ.
- Адаптировать политики на основе отзывов персонала о том, какие инструменты работают, а какие нет. Также следует пересмотреть политики в условиях новой гибридной рабочей эпохи, чтобы достичь баланса между безопасностью и удобством.
- Использовать инструменты мониторинга для контроля использования теневых ИТ и любой рискованной деятельности на предприятии, а также внедрить соответствующие меры для постоянных нарушителей.