Тіньові ІТ – це будь-яке програмне забезпечення, послуги, пристрої або обладнання, що використовуються працівниками без відома або схвалення ІТ-команди. Згідно з даними нещодавнього опитування, 57% малих та середніх підприємств виявили розгортання тіньових ІТ у своїй мережі; 76% малих та середніх підприємств заявили, що ці розгортання становлять “помірні та серйозні” загрози кібербезпеці.
Давайте розглянемо основи розгортання тіньових технологій, проаналізуємо деякі основні ризики та виклики, дослідимо потенційні переваги та запропонуємо практичні поради щодо виявлення та управління тіньовими ІТ в масштабах.
Розуміння тіньових ІТ
Перш ніж компанії зможуть ефективно управляти, контролювати та (за необхідності) пом’якшувати наслідки тіньових ІТ, вони повинні чітко розуміти, що таке тіньові ІТ, чому вони виникають і як вони проявляються в повсякденній діяльності.
Визначення тіньових ІТ
Тіньові ІТ – це використання будь-яких технологій, які не схвалені та не контролюються ІТ-командами. Популярним прикладом є програмне забезпечення як послуга (SaaS): Співробітники, розчаровані існуючими інструментами співпраці або зв’язку, можуть шукати безкоштовні онлайн-альтернативи, які допоможуть впорядкувати їхній робочий процес.
У деяких випадках вони не враховують вплив зовнішніх додатків на внутрішні мережі або практики захисту даних і просто забувають повідомити про це ІТ-відділ. В інших випадках працівники цілеспрямовано уникають інформування ІТ-відділу, щоб продовжувати користуватися обраним додатком.
Поширені причини тіньових ІТ
Основними причинами тіньових ІТ є демократизація технологічних інструментів та зручність, яку пропонують ці рішення.
Значною мірою завдяки швидкому впровадженню хмарних і мобільних рішень, демократизація технологій створила багате на додатки середовище, яке пропонує безліч варіантів для персоналу, який прагне оптимізувати процеси або підвищити продуктивність. Багато з цих рішень призначені для вдосконалення існуючих процесів або надання певних функцій – якщо затверджені ІТ-інструменти не пропонують таких же переваг, тіньові ІТ можуть заповнити цю прогалину.
Приклади тіньових ІТ в організаціях
Співробітники часто впроваджують тіньові ІТ-рішення, щоб підвищити продуктивність, спростити використання або покращити співпрацю та комунікацію.
- Підвищення продуктивності
Додатки, схвалені ІТ-відділом, можуть мати громіздкі процеси входу чи автентифікації або не містити функцій, необхідних працівникам для виконання ключових завдань. Уявіть собі графічного дизайнера з набором затверджених інструментів, які добре працюють на настільних комп’ютерах, але погано завантажуються (або взагалі не завантажуються) на ноутбуках чи мобільних пристроях. Щоб забезпечити вчасне завершення роботи, співробітники можуть завантажувати необхідні програми без дозволу ІТ-відділу.
- Підвищена простота використання
Стрімке зростання популярності хмарних додатків, таких як потокові відео- та музичні сервіси, файлові сховища та соціальні мережі, зробило простоту використання головним пріоритетом для персоналу. Якщо додатки не працюють за призначенням, або якщо вони надмірно складні чи громіздкі, працівники просто перестануть ними користуватися і завантажать більш доступні альтернативи.
Це поширена проблема, коли компанії впроваджують нові програмні рішення, такі як CRM або ERP-інструменти. Навіть якщо ці рішення пропонують чудову функціональність, їх не будуть використовувати, якщо вони складніші у використанні, ніж звичні інструменти.
- Покращення співпраці та комунікації
Якщо затверджені інструменти не дозволяють співробітникам легко зв’язуватися і спілкуватися про поточні проекти або нові проблеми, вони знайдуть інші програми, які уможливлять співпрацю. Як наслідок, ІТ-команди можуть зіткнутися з тіньовим ІТ-середовищем, яке охоплює кілька наборів інструментів у різних відділах.
Ризики та виклики
Хоча тіньові ІТ пропонують переваги для співробітників, вони створюють значні ризики для організацій. Розглянемо безкоштовне рішення SaaS, яке допомагає співробітникам керувати сховищем файлів. Якщо зловмисники скомпрометують цю програму або якщо сам інструмент містить шкідливе програмне забезпечення, критичні бізнес-дані можуть опинитися під загрозою. Якщо ІТ-команди не знають, хто користується додатком і які дані зберігаються, на виявлення та вирішення будь-яких проблем безпеки може піти більше часу.
Ризики безпеки, пов’язані з тіньовими ІТ
Існує кілька поширених ризиків безпеки, пов’язаних з тіньовими ІТ, зокрема
- Зниження ефективності
Якщо додатки вимагають великих обчислень або пропускної здатності, вони можуть негативно вплинути на продуктивність ІТ в організації.
- Порушення нормативних вимог
Якщо користувачі обмінюються даними або зберігають їх у несанкціонованих програмах, це може порушувати федеральні, державні або галузеві нормативні вимоги.
- Втрата критично важливих даних
Якщо тіньові ІТ-програми будуть скомпрометовані зловмисниками, компанії можуть втратити важливі фінансові, операційні або кадрові дані.
Проблеми з дотриманням нормативних вимог і конфіденційністю даних
Дві найбільші проблеми з тіньовими ІТ – це комплаєнс та конфіденційність даних. Це пов’язано з тим, що тіньові програми часто розгортаються співробітниками на своїх персональних пристроях, які потім підключаються до корпоративних мереж.
Уявіть, що співробітник, який працює віддалено, підключається зі свого мобільного пристрою і завантажує кадровий документ у несанкціоноване хмарне сховище. Якщо цей додаток буде скомпрометований і дані будуть викрадені, компанія може порушити правила конфіденційності даних, що, в свою чергу, призведе до грошових штрафів або операційних санкцій.
Вплив на ефективність та продуктивність організації
Тіньові ІТ-додатки існують не у вакуумі. Незалежно від того, чи завантажуються вони безпосередньо на пристрої користувачів, чи доступні лише в хмарі, ці програми можуть мати значний вплив на продуктивність мережі, що, в свою чергу, впливає на ефективність і продуктивність. Наприклад, хмарний додаток для підвищення продуктивності, який використовується кількома відділами, може вимагати великої пропускної здатності мережі, що, в свою чергу, знижує продуктивність інших критично важливих додатків.
Переваги та можливості
Співробітники не використовують тіньові ІТ, щоб створювати проблеми для технологічних команд. Замість цього вони шукають способи підвищити ефективність і збільшити продуктивність. Якщо вони знають, що процес затвердження ІТ-проектів займає тижні або місяці – або хвилюються, що їхні пропозиції будуть відхилені, – Shadow IT є привабливою альтернативою.
Незважаючи на те, що вона є прихованою, компанії можуть отримати потенційні вигоди та можливості, якщо скористаються послугами тіньових ІТ.
Потенційні переваги використання тіньових ІТ
Серед можливих переваг використання тіньових ІТ – покращення залученості працівників, підвищення прозорості та зменшення витрат.
- Покращена залученість працівників
Якщо співробітники мають доступ до додатків, які допомагають їм виконувати свою роботу і легко спілкуватися з іншими працівниками, вони з більшою ймовірністю будуть задіяні на роботі.
- Покращена видимість
Використання Shadow IT дозволяє командам відкривати лінії зв’язку з персоналом. Замість того, щоб намагатися приховати програми чи сервіси, працівники можуть звернутися за допомогою в налаштуванні нових інструментів чи пошуку альтернативного програмного забезпечення. В результаті ІТ-відділи отримують інформацію про те, що саме знаходиться в їхній мережі і як це впливає на роботу.
- Зменшення витрат
Спроби відстежити ІТ-проблеми, пов’язані з тіньовими програмами, можуть бути дорогими і трудомісткими. Наприклад, невідомі програми можуть спричиняти проблеми з продуктивністю затверджених сервісів, що змушує команди переслідувати симптоми, а не першопричини. Повне розуміння ІТ-середовища допомагає компаніям зменшити загальні витрати.
Сприяння інноваціям та гнучкості
Створення простору для тіньових ІТ також може сприяти інноваціям та гнучкості. Дозволяючи співробітникам обирати програми на основі необхідних функцій, а не схвалення ІТ-відділу, компанії можуть скоротити час, який вони витрачають на боротьбу з програмами для виконання певних завдань або перемикання між програмними рішеннями для виконання одного завдання.
Використання досвіду та креативності працівників
Співробітники часто мають творчі підходи до вирішення проблем, які ІТ-спеціалісти могли не врахувати. Наприклад, працівник служби підтримки може мати чудові ідеї щодо додатків, які допоможуть підвищити рівень задоволеності клієнтів. ІТ-команди, тим часом, можуть працювати зі списком перевірених додатків, які є безпечними, але пропонують обмежену функціональність. Використовуючи досвід співробітників, команди можуть оцінити альтернативні програми. Навіть якщо повне розгортання неможливе, команди можуть знайти компроміс, який спростить виконання завдань без шкоди для безпеки.
Виявлення тіньових ІТ та управління ними
Природа тіньових ІТ ускладнює управління ними. Наприклад, співробітники можуть встановлювати несанкціоновані програми на свої персональні пристрої, а потім використовувати ці пристрої на роботі для зберігання або передачі даних. Або ж працівники можуть використовувати онлайн-рішення, які не потребують завантаження та інсталяції, а використовуються в браузері. В обох випадках ІТ-команди можуть не знати про тіньові ІТ-розгортання, доки співробітники ненавмисно не розкриють їх використання або не виникнуть проблеми з мережею.
Методи виявлення та моніторингу тіньових ІТ
Існує кілька способів, якими компанії можуть виявляти та контролювати тіньові ІТ. По-перше, це розгортання комплексного рішення для моніторингу мережі, здатного виявляти та звітувати про всі додатки, що використовуються в корпоративній мережі, а не лише про ті, що схвалені ІТ-відділом.
Також дуже важливо залучити співробітників до розмови. Це починається з тренінгів з безпеки. ІТ-спеціалісти повинні регулярно зустрічатися з персоналом і ділитися найкращими практиками для ефективної безпеки. Сюди входить відмова від використання особистих пристроїв для надсилання або отримання критично важливої інформації, повідомлення про будь-які потенційні витоки даних або ІТ-загрози, а також розкриття інформації про використання будь-яких несанкціонованих технологій.
Впровадження тіньової ІТ-політики
Для ефективного управління тіньовими ІТ компаніям необхідно розробити та впровадити чітку політику. Співробітники повинні знати, що їм дозволено робити, чого слід уникати і що станеться, якщо вони порушать правила. Ідеальна політика тіньових ІТ для вашої організації залежить від поточного стеку додатків, кількості тіньових ІТ-додатків, які використовуються, і від того, чи виконують існуючі набори інструментів свою роботу.
Першим кроком у створенні тіньової ІТ-політики є визначення того, які програми є у вашій мережі, хто використовує ці програми та як вони впливають на продуктивність мережі. Маючи на руках перелік програм, ІТ-команди можуть оцінити кожну програму окремо, щоб визначити її переваги та ризики.
Озброївшись цією інформацією, команди повинні сісти за стіл переговорів зі співробітниками і розробити проект тіньової ІТ-політики, яка забезпечить баланс доступу і захисту. Хоча може виникнути спокуса запровадити повну заборону на всі незатверджені рішення, це, як правило, погіршує проблему, а не покращує її, оскільки співробітники продовжуватимуть використовувати інструменти, які допомагають їм виконувати свою роботу, але просто не повідомлятимуть про це ІТ-відділу.
Натомість, компаніям краще створити політику, яка заохочувала б співробітників звертатися з пропозиціями щодо нових додатків безпосередньо до ІТ. Потім технологічні команди оцінюють ці програми для затвердження. Якщо ризики впровадження переважають переваги, працівники та ІТ-спеціалісти повинні працювати разом, щоб знайти золоту середину.
Ефективна політика щодо тіньових ІТ-технологій також повинна містити кілька залізних правил, які допомагають зменшити потенційні ризики. Наприклад, політика повинна детально описувати наслідки для співробітників, які розгортають додатки після того, як їм повідомили, що вони занадто ризиковані. Перші порушення можуть супроводжуватися нагадуванням і попередженням, тоді як другі можуть вимагати додаткового навчання. Якщо проблеми не зникають, політика повинна передбачати процедуру відкликання дозволів співробітників, винесення догани, а якщо проблему не вдається вирішити, то звільнення з роботи.
Стратегії подолання тіньових ІТ-ризиків та управління ними
Ефективна боротьба з тіньовими ІТ-ризиками та управління ними вимагає поєднання процесів і людей.
З точки зору процесів, ІТ-команди повинні виявити та оцінити всі тіньові ІТ-програми та сервіси, що використовуються в корпоративних мережах. Що стосується людей, то ІТ-відділ повинен враховувати, як тіньові ІТ-політики впливають на повсякденну роботу. Хоча повна заборона тіньових ІТ-сервісів може спочатку зменшити кількість несанкціонованих додатків, обсяг несанкціонованих послуг швидко зростатиме, оскільки співробітники будуть знаходити нові способи уникнути виявлення.
Рішення LastPass для тіньового ІТ
LastPass може допомогти компаніям знизити ризики тіньових ІТ-технологій завдяки безпечному управлінню паролями.
Менеджер паролів LastPass виконує роботу зі створення, запам’ятовування та заповнення паролів. Всі паролі зберігаються в зашифрованому сховищі, і LastPass може автоматично генерувати надійні паролі для користувачів, щоб уникнути ризику легкого вгадування або повторного використання паролів.
Якщо зловмисники компрометують тіньові ІТ-програми – або якщо вони є шкідливим програмним забезпеченням, замаскованим під легітимні інструменти – зловмисники можуть викрасти логіни та паролі користувачів, а потім використати ці дані для доступу до бізнес-мереж. З LastPass всі паролі надійно зберігаються та шифруються, а це означає, що один скомпрометований Shadow IT-додаток не призведе до повного викриття мережі. Крім того, LastPass пропонує моніторинг Dark Web для виявлення використання викрадених облікових даних.
Рішення LastPass легко інтегруються з існуючими ІТ-процесами. Це означає, що командам не потрібно витрачати час і зусилля на налаштування нових середовищ і потенційно створювати нові ризики для безпеки. Замість цього вони можуть легко розгортати рішення LastPass для посилення захисту мережі.
Працюючи з персоналом над визначенням безпечних додатків, створюючи політики, що регулюють їх розгортання, забезпечуючи регулярне навчання працівників щодо ІТ-ризиків та впроваджуючи такі інструменти, як безпечне зберігання паролів від LastPass, компанії можуть пролити світло на тіньові ІТ-технології.
До речі, LastPass пропанує безкоштовну пробну версію свого рішення – тож можете спробувати вже зараз. А комерційну версію можна придбати у офіційного постачальника – компанії Ідеалсофт.