- Az árnyék-IT akkor keletkezik, amikor az alkalmazottak és a részlegek nem engedélyezett technológiát használnak a valós termelékenységi igények kielégítésére.
- Bővítése növeli a támadási felületet, az adatszivárgást, a megfelelőségi kockázatokat és a rejtett költségeket.
- Az észlelése technikai láthatóságot (auditok, CASB, MDM) és átláthatóságot elősegítő belső kultúrát igényel.
- A kezelése magában foglalja a biztonságos alternatívák felkínálását, a jóváhagyott alkalmazások katalógusait, a képzést és az agilis validációs folyamatokat.
La IT az árnyékban (o Árnyék ITSzinte minden szervezetbe bekúszott anélkül, hogy hangot adott volna: céges kártyával szerződtetett felhőalkalmazások, WhatsApp csoportok munkahelyi ügyekhez, személyes tárhelyfiókok az ügyfélfájlokhoz… Mindez egy olyan valóság része, amely napról napra egyre jobban növekszik, és amely, ha nem kezelik, komoly fejfájást okozhat.
Ugyanakkor ez a „nem hivatalos” informatikai rendszer nagyon is valós szükségletekből fakad: az alkalmazottak, akik szeretnék gyorsabban dolgozzon, jobban működjön együtt, vagy töltse ki a hiányosságokat a vállalati eszközökről. A probléma nem is annyira az, hogy létezik, hanem az, hogy az informatikai és biztonsági osztályok látókörén kívül működik. Minden olyan szervezet számára, amely agilis akar lenni anélkül, hogy elveszítené az irányítást, kulcsfontosságú annak alapos megértése, hogy mi is ez valójában, miért jelenik meg, milyen kockázatokkal jár, és hogyan kell kezelni.
Mi az árnyék-IT és miért létezik?
Amikor RÓLAD beszélünk az árnyékban, akkor rád gondolunk szoftverek, hardverek, felhőszolgáltatások, alkalmazások vagy eszközök használata egy vállalaton belül, amelyeket az informatikai osztály nem hagyott jóvá, nem felügyelt, vagy gyakran még csak nem is ismert. Ezek lehetnek egyszerű, ingyenes feladatkezelő alkalmazások vagy egy üzleti egység által szerződtetett teljes, felhőalapú együttműködési platformok.
Ez a technológia telepíthető a következő helyeken: vállalati számítógépek, személyi laptopok, személyi mobiltelefonok (BYOD), táblagépek, USB-meghajtók vagy közvetlenül külső felhőszolgáltatásokon. A közös nevező az, hogy munkavégzésre használják, de a szervezet hivatalos beszerzési, biztonsági és megfelelőségi folyamatain kívül.
Az utóbbi években a jelenség több okból is felerősödött: a technológia fogyasztása (hatékony, olcsó és könnyen használható eszközök mindenki számára elérhetőek), a SaaS robbanásszerű elterjedése, a távmunka széles körű elterjedése és a felhőszolgáltatások néhány kattintással történő nyújtásának lehetősége. Különböző tanulmányok szerint körülbelül az alkalmazottak 41%-a Már 2022-ben is használtak az IT-kontrollon kívül eső megoldásokat, és ez a szám várhatóan tovább fog növekedni.
Az árnyék-IT fogalmának nincs eredendően pozitív vagy negatív felhangja. A probléma az, hogy mivel kívül esik az IT-osztály hatókörén, Nem megy át biztonsági, engedélyezési és irányítási ellenőrzéseken amelyek a vállalat hivatalos technológiájára vonatkoznak, megnyitva az utat a kiberbiztonsággal, a megfeleléssel, a költségekkel és a működéssel kapcsolatos kockázatok előtt.
Az árnyék-IT gyakori példái
Az árnyék-IT nem egy elvont fogalom: nagyon is konkrét, mindennapi viselkedésformákban nyilvánul meg. Ezen példák megértése segít jobban azonosítani és reális szabályzatokat kidolgozni.
Az első kategória a következőkből áll: felhőalkalmazások amelyekhez a felhasználók közvetlenül a vállalati hálózatról vagy személyes eszközeikről férnek hozzá: projektmenedzsment eszközök, mint például a Trello vagy az Asana, tárolási megoldások, mint például a Google Drive vagy a Dropbox, alternatív termelékenységi csomagok, részlegspecifikus CRM-ek stb.
Másodszor, megvan a szoftver, mint szolgáltatás (SaaS) Ezeket az üzleti egységek szerzik meg beszerzés vagy informatikai beavatkozás nélkül: marketingeszköz-licencek, analitikai platformok, tervezési vagy szerkesztési megoldások, nem tanúsított videokonferencia-alkalmazások stb. Ezeket általában a területi vezetők saját kártyáival vagy személyes előfizetésekkel fizetik, amelyeket később megtérítenek.
Egy másik gyakori módszer a használata személyes eszközök a munkahelyen (BYOD) megfelelő kezelés nélkül: személyes mobiltelefonok vállalati e-mailezéshez, személyes táblagépek ügyféladatokkal, otthoni laptopok, amelyek a szervezet hálózatához csatlakoznak, titkosítatlan USB-meghajtók érzékeny információk átvitelére... Mindez növeli a kitettséget anélkül, hogy az IT-nek valódi kontrollja lenne.
Ez magában foglalja a a munkavállaló kezdeményezésére telepített szoftver a munkaeszközeiken: böngészőbővítmények, termelékenységi kiegészítők, maguk a technikusok által letöltött fejlesztőeszközök, jogosulatlan üzenetküldő vagy videohívási alkalmazások, sőt, akár a hivatalos adattárakon kívül a vállalati laptopon futtatott egyedi kód is.
Végül nem szabad megfeledkeznünk a használatáról sem személyes kommunikációs platformok például a WhatsApp, Telegram, Signal vagy Discord a munkahelyi ügyek intézésére, valamint személyes e-mail fiókok használata ügyféldokumentációk küldésére vagy fájlok megosztására a beszállítókkal, ami teljesen átláthatatlanná teszi ezeket az adatokat a szervezet számára.
Miért terjed ennyire az IT az árnyékban?
Az árnyék-IT nem véletlenszerűen jelenik meg, hanem szervezeti, technológiai és emberi tényezők kombinációjára adott válaszként. Ha hatékonyan akarjuk kezelni, akkor ezeket a kiváltó okokat kell kezelnünk.
Az egyik legfontosabb az az informatikai osztály lassúságának és rugalmatlanságának érzékeléseAmikor az új eszközök jóváhagyási folyamatai hosszadalmasak, bürokratikusak vagy átláthatatlanok, az alkalmazottak szinte lehetetlen küldetésnek érzik valami újat kérni, különösen, ha szoros határidőket kell betartaniuk.
Szintén befolyásol elégedetlenség a hivatalos megoldásokkalA nem intuitív, korlátozott vagy rosszul adaptált vállalati eszközök gyakran arra késztetik a csapatokat, hogy jobb alternatívákat keressenek. Ha egy részleg felfedezi, hogy egy adott alkalmazás kétszer gyorsabbá teheti a munkavégzést, hatalmas a kísértés, hogy függetlenül alkalmazzák.
Maga a technológiához való hozzáférés könnyűsége döntő szerepet játszik. Manapság egy egyszerű hitelkártyával és némi szakértelemmel bárki elkezdheti. fejlett felhőszolgáltatások együttműködéshez, feladatkezeléshez, szoftverfejlesztéshez vagy nagy mennyiségű adat tárolásához anélkül, hogy az informatikushoz kellene fordulnia.
Mindehhez még hozzáadódik az a kockázatok ismeretének hiányaSok alkalmazott jó szándékkal, de nem rosszhiszeműen használja ezeket a megoldásokat, abban a hitben, hogy „semmi sem fog történni”, ha személyes fiókjukból osztanak meg dokumentumokat, vagy telepítenek egy nekik ajánlott ingyenes alkalmazást, anélkül, hogy tisztában lennének azzal, hogy ez mit jelenthet adatszivárgás, rosszindulatú programok vagy a szabályozási meg nem felelés szempontjából.
Végül, további emberi tényezők is szerepet játszanak, mint például a bizalom és a kommunikáció kultúrájának hiányaVannak, akik attól tartva, hogy problémásnak tartják őket, vagy hogy beismerik, egy folyamat nem működik, inkább önállóan, nem jóváhagyott eszközökkel „menedzselik” a problémát, ahelyett, hogy nyíltan felvetnék a változás szükségességét.
Az árnyék-IT lehetséges előnyei
Bár gyakran problémákkal jár, az árnyék-IT-nek van egy pozitív oldala is, amelyet fel kell ismerni ahhoz, hogy megfelelően tudjuk kezelni, ahelyett, hogy erőszakkal próbálnánk kiirtani.
Sok esetben ezek az eszközök biztosítják a sokkal gyorsabb hozzáférés a megoldásokhoz amelyek konkrét, mindennapi problémákat oldanak meg. Egy csapat néhány órán belül elkezdhet dolgozni egy új alkalmazással anélkül, hogy heteket kellene várnia a hivatalos beszerzési és telepítési folyamat befejezésére.
Az árnyék-IT szintén forrása a innováció és kísérletezésA felhasználók felfedezik az újonnan megjelenő technológiákat, tesztelik az együttműködés vagy a feladatok automatizálásának új módjait, és néha olyan megoldásokat fedeznek fel, amelyeket később hivatalosan is be lehet építeni, mivel egyértelmű értéket képviselnek az egész szervezet számára.
Egy másik nyilvánvaló előny a javulás, alkalmazottak termelékenysége és kényelmeAz olyan eszközök használata, amelyek tökéletesen illeszkednek a munkafolyamataihoz, amelyeket jól ismer, és amelyeket testre szabhat, általában kevesebb súrlódást, kevesebb időpazarlást és az értékes feladatokra való nagyobb összpontosítást eredményez.
Nem szabad megfeledkeznünk a pszichológiai tényezőről sem: az eszközök bizonyos mértékű rugalmassága összetartóbb csapatokat eredményez. felhatalmazott és önellátóegy olyan kultúrával, amely a „működteti a dolgokat” és önállóan oldja meg a problémákat. Ha helyesen alkalmazzák, ez nagyon pozitív lehet a vállalat agilitása szempontjából.
Mindezen előnyök azonban általában egy fontos hátránnyal járnak: ha ez a technológia nem vonatkozik megfelelő ellenőrzésre, az átmeneti hatékonyságnövekedés könnyen megtérülhet biztonsági incidensek, szabályozási szankciók, adatkáosz vagy rejtett költségek formájában.
Az árnyék-IT főbb kockázatai
Az árnyék-IT érmének másik oldala a kockázatok halmaza, amelyeket magával hoz. Ezek közül sok elsőre nem nyilvánvaló, de felhalmozódnak és a legrosszabb pillanatban kirobbanhatnak.
Az első és leglátványosabb az megnövekedett felületMinden új, jogosulatlan alkalmazás, minden külső felhőszolgáltatás, minden a hálózathoz csatlakoztatott személyes eszköz egy plusz pont, amelyet a kiberbűnözők megpróbálhatnak kihasználni. Mivel nincsenek integrálva a vállalati biztonsági architektúrába, gyakran tökéletes hátsó ajtóként szolgálnak.
A fentiekhez kapcsolódóan az árnyék-IT növeli a sebezhetőségek és rosszindulatú programok lehetőségeiSok ingyenes vagy kevéssé ismert alkalmazás nem rendelkezik robusztus biztonsági mechanizmusokkal, későn frissül, vagy súlyos hibákat tartalmaz. Mobileszközök és harmadik féltől származó alkalmazások esetében a tanulmányok kimutatták, hogy nagyon magas százalékuk olyan biztonsági rést tartalmaz, amelyet a támadók kihasználhatnak.
Egy másik kritikus kockázati tényező a adatok elvesztése, kiszivárgása vagy nem megfelelő nyilvánosságra hozatalaAmikor az alkalmazottak személyes fiókokban, ellenőrizetlen beszállítóknál vagy titkosítás nélküli eszközökA szervezet elveszíti az adatok feletti láthatóságot és kontrollt. Ha csak egyetlen személy is elhagyja a céget, vagy elveszít egy eszközt, az ott tárolt összes információ is elvész.
Az árnyék-IT is jelentősen bonyolítja a helyzetet. szabályozási és jogi megfelelésAz olyan szabályozások, mint a GDPR, a HIPAA, a PCI DSS, valamint a NIST-hez hasonló szabványok megkövetelik, hogy tudjuk, hol találhatók az adatok, hogyan védik azokat, és ki férhet hozzájuk. Ha ezeknek az információknak egy része ismeretlen csatornákon keresztül mozog, a megfelelés biztosítása gyakorlatilag lehetetlen, ami pénzügyi büntetésekhez, jogi kötelezettségekhez és súlyos hírnévkárosodáshoz vezethet.
Működési szempontból a jogosulatlan eszközök elterjedése a következőkhöz vezet: hatékonysághiány, silók és széttagolt munkafolyamatokElőfordulhat, hogy minden csapat a saját alkalmazáskombinációját használja a feladatok kezelésére, a kommunikációra vagy a fájlok megosztására, ami akadályozza az interoperabilitást, megsokszorozza az ismétlődéseket, és nagyon megnehezíti az adatok egységes áttekintését.
A költséghatást sem szabad figyelmen kívül hagyni. Míg rövid távon úgy tűnhet, hogy megtakarításokat érünk el azzal, hogy egy nagyvállalati megoldás megvásárlásáról több olcsó vagy ingyenes szolgáltatásra váltunk, hosszú távon az árnyék-IT gyakran több költséget generál. Rejtett költségek: duplikált előfizetések, fel nem használt licencek, incidensek miatti leállás, extra támogatási és elhárítási erőfeszítések, nem tanúsított szolgáltatóknál történő kizárások stb.
Láthatósági, ellenőrzési és megfelelőségi problémák
Az árnyék-IT egyik mellékhatása, hogy az IT-osztály elveszíti a szerepét a technológiával kapcsolatos igazság központi forrása a szervezet. Ha nem tudjuk, mit használnak, hol találhatók az adatok, vagy milyen függőségek vannak a rendszerek között, akkor nagyon nehézzé válik egy koherens biztonsági, folytonossági és fejlődési stratégiát kidolgozni.
A láthatóság hiányának több következménye van. Egyrészt megakadályozza védd azt, ami láthatatlanA monitorozási, biztonsági mentési, titkosítási és incidensekre adott válaszok nem terjednek ki azokra a rendszerekre, amelyek nem is szerepelnek a hivatalos leltárban. Továbbá ez inkonzisztenciákat okoz az információkban, mivel ugyanazon adatok több verziója is létezhet szétszórva különböző, egymással nem összekapcsolt eszközökben.
A megfelelés szempontjából az árnyék bonyolítja mind a bizonyítékkezelés (Naplók, hozzáférési előzmények, változások nyomon követhetősége), valamint az auditokra vagy incidensekre adott válaszok. Ha egy szabályozó hatóság igazolást kér arról, hogy hol tárolják bizonyos személyes adatokat, ki dolgozta fel azokat, és milyen biztonsági intézkedésekkel, az ellenőrizetlen informatika által hagyott réseket hatalmasak lehetnek.
Közvetlen hatással van a vállalat azon képességére is, hogy a adat életciklusMegőrzés, archiválás, biztonságos megsemmisítés stb. Ha az információk egy része nem hivatalos adattárakban található, például egy alkalmazott távozásakor, vagy bizonyos információk törlésekor, könnyen előfordulhat, hogy élő másolatok maradnak, ami magában hordozza a kockázatokat.
Végül, az irányítás elvesztése nehézségeket okoz, amikor a befektetések és erőforrások tervezéseLehetséges, hogy a vállalati licenceket kihasználatlan eszközökért fizetik, míg bizonyos csapatok külön fizetnek hasonlókért, vagy hogy a funkciókat a tudtuk nélkül duplikálják. Teljes kép nélkül az informatikai kiadások optimalizálása szinte lehetetlenné válik.
Hogyan ismerjük fel az árnyék-IT-t a szervezetünkben?
Az árnyék-IT kezelésének első lépése nem a tiltás, hanem láthatóságot szerezniSok szervezet meglepődik, amikor e vizsgálat során tucatnyi vagy több száz olyan szolgáltatásra bukkannak, amelyeket hivatalosan senki sem jelentett be.
Az alapvető technika a következők végrehajtásából áll: időszakos hálózati és végponti auditok a jogosulatlan alkalmazások, felhőszolgáltatások és kapcsolatok azonosítása érdekében. Ez magában foglalja a számítógépekre telepített szoftverek, böngészőbővítmények, a vállalati e-mailhez csatlakoztatott mobilalkalmazások és a SaaS-tartományokba irányuló forgalmi minták felülvizsgálatát.
Az is nagyon hasznos, ha elemezzük a kiadások és vásárlások nyilvántartása A technológiai szolgáltatóknak a szokásos csatornákon keresztül történő fizetési módok keresése. A felhőszolgáltatásokra vonatkozó hitelkártya-előfizetések, az ismétlődő kis díjak vagy az egyes részlegeknek kiállított szoftverszámlák egyértelműen jelezhetik az árnyék-IT jelenlétét.
Egy másik észlelési módszer az információk integrálását jelenti a identitás- és SSO-szolgáltatók (például Azure AD, Google Workspace vagy mások), hogy lássák, mely alkalmazásokhoz férnek hozzá a felhasználók vállalati hitelesítő adatokkal. Bár nem mindegyikük van jóváhagyva, ez a láthatósági réteg segít feltérképezni, hogy merre tart a szervezet.
Vannak speciális eszközök is, Árnyék-IT felderítés és CASB (Cloud Access Security Broker) olyan szoftvereket, amelyek figyelik a felhőszolgáltatásokba irányuló forgalmat, az alkalmazásokat kockázati szintjük szerint osztályozzák, és lehetővé teszik az új alkalmazások automatikus azonosítását másodpercek alatt, riasztásokat generálva, ha jogosulatlan dolog jelenik meg.
Végül, a felderítésnek nem szabad pusztán technikai jellegűnek lennie. Kulcsfontosságú a az átláthatóság kultúrája ahol az alkalmazottakat arra ösztönzik, hogy megvitassák, mely eszközöket használják és miért, anélkül, hogy félniük kellene a megrovástól. A belső felmérések, az osztályvezetőkkel folytatott interjúk és a nyílt kommunikációs csatornák több rejtett informatikai eszközt fedhetnek fel, mint sok szkenner.
Az árnyék-IT megelőzésének és ellenőrzésének legjobb gyakorlatai
Miután megértettük az összképet, és kezd kirajzolódni, hogy mit söpörnek a szőnyeg alá, itt az ideje egy stratégia kidolgozásának. Csökkentse a kockázatot az innováció elvesztése nélkülA kulcs a folyamatok, a technológia és a kultúra ötvözése.
Szervezeti szinten elengedhetetlen a fejlesztés, együttműködés az informatikai és üzleti egységek közöttAhelyett, hogy pusztán elutasítóként viselkednének, az informatikai részlegnek le kellene ülnie a csapatokkal, meg kellene értenie a valódi igényeiket, és biztonságos alternatívákat kellene javasolnia, amelyek megfelelnek nekik. Amikor a felhasználók úgy érzik, hogy meghallgatják őket, kevésbé valószínű, hogy rövidebb utat keresnek.
Az is sokat segít, ha felajánljuk, a hivatalos szolgáltatások és alkalmazások áttekinthető katalógusaNaprakész és könnyen áttekinthető. Ha az alkalmazottak tudják, hogy mely eszközöket használhatják az egyes felhasználási esetekben (együttműködés, projektmenedzsment, fájlmegosztás, üzenetküldés stb.), csökken a távozás kísértése.
Technikai szempontból célszerű olyan megoldásokat alkalmazni, mint a mobil eszközkezelés (MDM) és robusztus BYOD-szabályzatok, amelyek lehetővé teszik a vállalati adatokhoz hozzáférő személyes eszközökre telepített alkalmazások ellenőrzését, titkosítást alkalmaznak, elkülönítik a személyes és a munkahelyi tereket, és blokkolják a jogosulatlan szolgáltatások használatát.
Fejlesztői környezetekben kritikus fontosságú az ún. árnyékkódBiztonsági elemzőeszközök (SAST, DAST, IAST) integrálása az alkalmazás életciklusába, a használt könyvtárak és keretrendszerek áttekintése, valamint annak biztosítása, hogy a hivatalos tárolókba jutó összes kód kiértékelésre és dokumentálásra kerüljön.
sok hozzáférés-vezérlés és a a legkisebb kiváltság elve Ki kell terjedniük a felhőalapú környezetre is: meg kell határozniuk, hogy kik biztosíthatnak új szolgáltatásokat, milyen alapértelmezett biztonsági konfigurációkkal, hogyan címkézzék az erőforrásokat a nyomon követésükhöz, és milyen követelményeknek kell megfelelniük, mielőtt éles környezetbe kerülnének.
Másrészt az automatizálás nagyon hatékony riasztások és válaszok anomáliás viselkedés esetén: új SaaS-szolgáltatásokra való előfizetések észlelése, külső szolgáltatóknak történő adatátvitel megugrása, nem osztályozott alkalmazások intenzív használata stb. Minél hamarabb észlelnek egy új árnyék-IT példányt, annál több idő lesz átirányítani.
A képzés és a tudatosság alapvető pillérek. Nem elég elindítani egy politikát, és elvárni annak végrehajtását: szükséges világosan és gyakorlatiasan magyarázd el Mi az árnyék-IT, milyen kockázatokkal jár, milyen biztonságos alternatívák léteznek, és hogyan igényelhetünk új eszközöket? A rendszeres workshopok, képzési modulok, szimulációk és belső kampányok mindent megváltoztathatnak.
Végül ajánlott elvégezni ismétlődő IT-auditokahol mind a hivatalos, mind a nem nyilvános eszközöket felülvizsgálják, felmérik, hogy megfelelnek-e a biztonsági és megfelelőségi szabályzatoknak, és meghatározzák a szabályozási terveket: az értéket képviselő eszközök hivatalos integrációjától kezdve az elfogadhatatlan kockázatot jelentők eltávolításán át a megfelelő helyettesítők javaslatáig.
Az IT háttérben történő kezelése nem arról szól, hogy zaklatjuk az alkalmazottakat, vagy szigorú ellenőrzést vezessünk be minden egyes kattintásuk felett, hanem inkább arról, hogy a kezdeményezéseiket tereljék, csökkentsék a holttereket, és egyensúlyt teremtsenek a termelékenység és a biztonság közöttMinél átláthatóbb a kommunikáció, minél agilisabb az új megoldások jóváhagyási folyamata, és minél világosabbak a játékszabályok, annál kevésbé kell az embereknek „a színfalak mögé nézniük” ahhoz, hogy jól végezzék a munkájukat.
Tartalomjegyzék
- Mi az árnyék-IT és miért létezik?
- Az árnyék-IT gyakori példái
- Miért terjed ennyire az IT az árnyékban?
- Az árnyék-IT lehetséges előnyei
- Az árnyék-IT főbb kockázatai
- Láthatósági, ellenőrzési és megfelelőségi problémák
- Hogyan ismerjük fel az árnyék-IT-t a szervezetünkben?
- Az árnyék-IT megelőzésének és ellenőrzésének legjobb gyakorlatai