您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

CIO管理影子IT活动的14个技巧

发表于:2020-05-31 作者:邹铮 编译 来源:TechTarget中国

曾经负责管理或当前正在管理IT运营的CIO最有可能遇到的情况是,他们或他们团队成员会发现不受其控制的“流氓”系统或应用程序。在云计算技术成为IT常态前的几年中,用户可能发现他们需要访问应用程序或其他IT资源,而由于某种原因,他们对IT的响应不满意。对于某些用户,他们可能会认为IT响应一直如此,但是对于其他用户,这促使他们走出IT部门控制,并构建自己的产品。

这是影子IT的示例,这种影子IT越来越多地涌现,特别是随着易于访问的基于云的服务的出现。影子IT被认为是企业运营的主要风险,因此,管理影子IT必须纳入现在的总体风险管理活动中。

影子IT的影响

考虑到IT的复杂性,尤其是在互联网时代,了解和有效管理IT资源(内部和外部)的能力变得越来越重要。在本文中,我们将探讨有关影子IT的情况,并提供指导以确保CIO可以识别和减轻流氓活动。

大多数CIO的主要目标是平稳运行IT部门,保持合规、安全且无风险。在安全问题方面,他们会关注任何威胁信息机密性、完整性和可用性的情况。未经批准安装系统–无论是在现场还是通过云技术,都可能导致未经授权访问内部系统。从风险管理的角度来看,影子IT对CIO及其网络安全和运营团队带来独特的挑战,并应该成为他们工作的关键要素。

软件即服务(SaaS)、基础架构即服务(IaaS)和平台即服务(PaaS)等基于云的系统的增加,为影子IT活动带来巨大的机遇。影子IT用户能获取的传统资源是现成的硬件和软件应用程序,而现在他们能够获得更多资源,只要互联网连接可用,影子IT用户就能以最小的难度访问几乎任何基于云的资源。

影子IT活动带来的风险 有效监控和管理大型多样化IT基础架构本身就具有挑战性,因为它们具有各种固有风险和漏洞。使用影子IT可能会发生以下情况:

  • 引入漏洞,可能导致数据丢失,并危及数据管理和数据完整性;
  • 恶意代码引入内部网络;
  • 未经授权访问数据,可能会阻碍管理员执行其工作;
  • 未经授权更改数据—原本可以避免;
  • 无法及时修复应用程序,这些应用程序可能存在错误或者其他问题;
  • 潜在合规性问题(特别是对于受监管的组织),可能会受到罚款和诉讼;
  • 使用未经IT部门检查和验证的系统,对业务带来潜在负面影响;
  • 招致网络安全风险,可能有助于黑客和其他网络罪犯的远程访问。

影子IT的好处

企业用户使用和管理影子IT系统和技术的最常见原因是,他们不满意IT提供的工具,而尝试获得和使用更能满足其独特要求的工具。理论上来说,用户应该首先询问IT部门是否可以帮助满足用户的要求。并且,理想情况下,IT部门应利用软件开发生命周期(SDLC)提供经验证的结构,以识别、开发和部署合适的选项。这通常需要大量时间才能完成SDLC中的所有步骤。

无论出于何种原因,用户会意识到IT在提供业务产品方面很慢,并决定绕过IT获取自己的产品,他们只是因为希望使事情快速进展。从积极的方面来看,流氓系统可能会比IT部门提供的工具为企业带来更大的利益,并且企业甚至可以实现积极的成果,例如获得竞争优势。

管理影子IT活动

在你管理和控制影子IT部署前,首先由必要对其进行识别。以下是有效管理影子IT的14个技巧。

  • 定期运行网络嗅探程序,以检测不在已知IP地址列表中的IP地址;
  • 对IT基础架构内所有资源进行整理,同时,使用网络库存技术或其他相关应用程序定期对其进行更新;
  • 确保CIO高级领导人员团队密切关注潜在的影子安装;
  • 并将此作为员工会议的定期议程项目;
  • 审查网络防火墙的活动(入站和出站),以识别任何可疑流量以进行进一步分析;
  • 审查入侵检测和入侵防御系统(IDS / IPS)的活动,以识别异常情况以进行进一步分析; 定期向员工发送消息,告知可能存在的影子IT活动,并向IT管理层报告任何可疑活动;
  • 向高级管理层报告任何可疑的IT活动以及正在采取的补救措施-确保他们支持应对影子IT的举措;
  • 与当前合作的云服务提供商联系,以告知他们有关未经授权的IT的任何担忧,并询问他们是否意识到任何可疑活动;
  • 确定云服务提供商和其他托管服务提供商的影子IT分析能力;
  • 制定处理影子IT活动的政策和协议,并与人力资源和法律部门进行审查;
  • 对被认定为从事影子IT活动的员工制定处罚措施;
  • 与人力资源协调; 如果存在BYOD(自带设备)策略,请考虑对其进行更新以解决影子IT活动;
  • 在进行IT审计前,做好准备应对审计员是否存在影子IT活动的潜在问题,因为它们带来潜在安全风险和访问控制问题;
  • 检查可从云访问安全代理(CASB)获得的影子IT检测工具