数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装学
法学什么是影子 IT?
云计算使 IT 用户更容易绕过 IT 采购流程,并获得完成任务所需的解决方案。IT 监督和严格的治理标准通常是为了保护公司,而不是为了解决 IT 用户在工作中遇到的问题。影子 IT 就是绕过这些限制,在不知会正式 IT 部门的情况下访问必要的 IT 解决方案的做法。
影子 IT 指的是未经 IT 部门明确许可而使用技术基础设施、设备、软件、应用程序和服务。近年来,随着基于云的应用程序和服务的普及,影子 IT 的增长呈指数级。
虽然影子 IT 可以提高员工的工作效率并激发创造力,但它也可能使您的公司面临数据泄露、合规违规和其他安全问题的风险。
为什么采用影子 IT?
以下是采用影子 IT 的一些原因:
影子 IT 不可避免
IT 用户仅仅是为了满足工作需求,以一种更简便的方式来使用影子 IT。根据 Gartner 的研究,影子 IT 支出占组织所有采购的 30%-40%。根据 Everest Group 的分析,这一比例接近 50%。
公司对此问题负有部分责任
未能为 IT 用户首选的技术提供适当的支持。
治理、审批和供应流程效率低下且缓慢。
特别是对于那些以敏捷或 DevOps 为驱动,专注于持续创新和快速软件开发和交付周期的公司而言,对新技术的需要可能会在 IT 部门发现、评估和批准这些项目之前,突然出现。
沟通和协调不足
开发人员和 IT 团队之间的沟通和协调不足,阻碍了批准所需技术的 IT 支持的速度和灵活性。另一方面,不足的安全能力往往会阻碍企业批准新技术,即使他们希望为开发人员提供最先进的可用解决方案。
暗中的 IT 安全威胁和挑战
最重要的是,如果 IT 部门不知道某个应用程序,就无法对其进行支持或保护。市场研究机构 Gartner 预计,到 2020 年,针对企业的所有成功攻击中,三分之一将针对其影子 IT 资源。虽然影子 IT 不可避免,但企业可以通过教育终端用户和实施预防措施来监控和控制未经批准的应用程序,从而降低风险。
虽然并非所有影子 IT 方面都具有内在危害,但某些功能(例如文件共享/存储和协作(例如 Google Docs))可能会导致严重的数据泄露。这种风险不仅限于应用程序——根据 RSA 的调查,63% 的在家工作的员工将业务文档传输到其个人电子邮件,将数据暴露在未经 IT 管制的网络中。除了安全问题外,如果各个部门购买重复的解决方案而没有意识到这一点,影子 IT 还会导致资金损失。
影子 IT 的各个部分包含什么?
影子 IT 指的是任何未由 IT 部门处理的 IT 相关操作和采购。这些采购可能包括:
硬件,例如服务器、PC、笔记本电脑、平板电脑和手机。
已打包销售的软件。
云服务,例如软件即服务 (SaaS)、基础设施即服务 (IaaS) 和平台即服务 (PaaS)。
影子 IT 的风险
即使影子 IT 具有多种优势,但如果管理不善,与其相关的风险可能会抵消部分优势。以下是一些风险:
数据不一致和数据丢失
合规性问题
停机时间会减少,所需的安全措施也会减少。
数据丢失和数据不一致
如果您使用影子 IT,您可能会放弃对数据管理方式的一些控制。这对于基于云的应用程序和物理位置使用的应用程序都适用。在决定如何管理和保护业务数据时,个人用户可能会犯严重的错误。例如,当所有云安全都由 IT 团队管理时,数据的输入和输出可能会受到严格的监管。
在使用影子 IT 时,个人员工可能需要负责提供有关 IT 安全或生产力等关键问题的统计数据。这可能会导致差异,从而难以跟踪和响应数据,而如果由 IT 团队负责,这些数据本来很容易获得并定期提供。
合规性问题
合规性环境容易发生意外甚至突然的变化。由于影子 IT 将权力赋予个人员工,而他们经常忙于或关注其他重要任务,因此合规性问题可能会被忽视。新的法律法规可能会规定如何遵守公司范围内的标准,以及政府官员发布的指示,这些都可能被那些忙于实现其他目标的人所忽略。
停机时间减少和安全措施减少
如果影子 IT 出现问题,停机时间可能会因用户缺乏经验而加剧。当员工遇到问题时,解决问题可能需要数小时。另一方面,经验丰富的 IT 专业人员只需几分钟即可解决此类问题。
如何降低与影子 IT 相关的风险?
以下是一些步骤,可以减少对(以及与)影子 IT 的需求和相关风险:
协作和沟通
了解 IT 用户的需求。消除障碍。促进 IT 部门和 IT 用户之间快速、便捷和高效的沟通,以便更好地了解最终用户的需求、体验以及对现有和新技术的评价。
教育和培训员工
告知用户影子 IT 的风险,以及公司如何帮助他们满足其 IT 需求,而无需违反常规治理标准。
具有安全意识并认同公司 IT 安全愿景的员工,更有可能了解影子 IT 的风险,并且更有可能找到可接受的解决方案来满足他们的技术需求。
简化治理流程
制定一个 IT 治理系统,通过允许快速发现、审查、访问和为 IT 用户提供新技术来鼓励创新。制定以用户为中心并预测其需求的法规。在政策执行和响应最终用户 IT 需求的能力之间取得平衡。
查找有关影子 IT 的更多信息
使用技术解决方案监控异常网络活动、意外交易、数据和工作负载传输、IT 使用趋势以及其他影子 IT 实践的迹象。
主动发现有助于管理影子 IT 威胁
您可以通过查看内部网络过滤日志和配置管理数据库来查找某些影子 IT 实例。与会计部门合作以识别异常的 IT 相关采购也有助于发现影子 IT。
待评估和减轻的风险
并非所有影子 IT 技术都同样危险。持续评估工作场所技术可以帮助企业根据每种影子 IT 犯罪的风险敏感性制定风险缓解措施。
如果您使用影子 IT,您可能会放弃对数据管理方式的一些控制。这对于基于云的应用程序和在物理位置使用的应用程序都是如此。在决定如何管理和保护业务数据时,单个用户可能会犯严重的错误。例如,当所有云安全都由 IT 团队管理时,数据的输入和输出可能会受到严格监管。
浏览量:237
