几十年来,CIO和IT经理们一直在寻找可靠的方法来寻找和压制影子IT技术,他们意识到非法工具会带来危险,包括企业安全、合规和工作流漏洞。
如今,越来越多的IT***开始用新的眼光看待它。他们逐渐了解到,研究秘密练习可以帮助他们收集线索,洞察最终用户的需求和偏好,开发和部署授权的软件和服务,从而提高员工的工作表现和满意度。这里有7种方法可以让你在潜伏的影子IT中获得优势。
1.理解为什么使用影子IT工具
许多员工都精通技术,能够熟练地利用设备、软件和应用程序来提高工作效率。“他们习惯于在个人生活中使用面向消费者的平台,并希望将这种轻松和简单的工作转移到日常工作中,”惠普企业公司Aruba的副总裁兼***技术专家Jon Green说。“任何公司授权的IT系统都会减缓进程,或者设置障碍,让员工全天候工作,无论他们身在何处,都有可能被绕过。”
基础设施管理软件提供商solarwind的***极客Leon Adatob表示,坚持使用一个或多个影子IT技术的员工只是想让他们的工作顺利、高效地完成。他解释说:“如果这个过程团队满足了他们的需求,没有人会在一个既定的过程或团队中工作。”“但当它不存在的时候,无论是速度还是成本,都是团队和个人开始寻找其他成功途径的时候。”毕竟,Adato指出,员工主要是评估结果,而不是他们符合标准的程度,尤其是那些连累他们达不到目标的标准。
2.研究员工如何使用影子IT工具
如何处理影子IT工具***的方法是让用户讨论技术交付给他们的价值以及它帮助解决的具体问题。云安全平台提供商Netskope的云策略主管Sean Cordero说:“这与我们IT团队在评估新技术时的做法类似,只不过新技术已经成为一些业务工作流的一部分。”“如果你的团队不能提供所需的功能,那么很可能是时候深入挖掘用例,并找出能够满足业务需求的解决方案。”
一个***的问题就是员工秘密地使用公共云服务。员工经常共享文件,提供多个用户文档访问,或者简单地将重要文件备份到Dropbox或谷歌文档等服务中。格林警告说:“虽然这些平台随处可见,使用起来也很方便,但它们可以将敏感数据置于危险之中。”他指出,面向企业的云平台提供了更强大的安全性和使用控制,包括对文件进行加密的选项,这样它们才能被有意的各方访问。格林解释说:“大型组织也很常见,他们可以实现自己的安全文件共享平台,或者使用白标签产品来定制那些为他们的业务提供***价值的功能。”
3.确定阴影技术是否构成安全威胁
“***步是确定它存在于组织中的什么阴影,”Grant Thornton咨询服务实践的负责人罗伊·尼克尔森建议。他说:“实现这一目标的方法有很多,其中之一就是监控网络上的出站流量,因为大部分的阴影工具都涉及到软件或基础设施即服务能力。”“从那里,公司可以开始通过安全评估工作。”
uniper Networks的Juniper威胁实验室负责人Mounir Hahad建议,企业应该像对待其他类型的软件和服务一样,对IT安全进行评估。他说:“影子IT技术本身并不需要不同的评估程序,但最需要评估的是确保可以观察和减轻任何安全风险。”
在一个公司的网络上,未知的用户和设备会造成安全漏洞和增加风险。“使用网络访问控制系统为每个人提供实时信息,系统和设备连接到公司基础设施是检测影子IT技术的一种有效方法,”Green notes说。此外,用户和实体行为分析(UEBA)工具可以帮助检测和防止隐藏的网络威胁,这些威胁已经渗透到外围防御系统中。他说:“这些工具加在一起,对于保护企业资产来说,是一种巨大的双重打击。”
4.评估影子技术作为企业生产力工具的潜在价值
评估影子工具价值的最简单和最原始的方法是与用户讨论技术。纽约地区独立的安全架构师Pieter VanIperen说:“你的员工知道如何让你的公司更有效率,他们的工作效率比任何供应商、销售代表、安全专家或基础设施团队都要好。”“对待你的员工就像对待你的客户一样——给他们一个好的工作经验,他们将会产生有效的工作,并且不需要通过阴影技术来隐藏。”
如果员工使用的是影子工具,很可能有一个很好的理由。他建议说:“找出为什么这些用户会转向阴影,以及存在哪些差距。”他说,更好的方法是调查员工关于潜在的新工具,让他们尝试各种选择。他补充说:“确保这不是你获得一个过于复杂的工具的过程。”
5.与影子技术的供应商合作开发企业级版本
基础设施和服务提供商Logicalis的安全解决方案副总裁Ron Temske建议,如果它决定了将影子IT技术转换为已批准的业务工具的一个可靠的业务原因,那么组织应该向开发人员介绍具体的需求和目标。他指出:“许多软件供应商有不同版本的产品,或者愿意合作,以确保产品符合组织的要求。”
10年或15年前,大多数的消费者工具都是在企业层面的安全与合规标准中被忽视的。IT软件和服务评论网站G2 Crowd的***研究官Michael Fauscette认为:“这在今天的大多数工具中都是不真实的。”当然,也有例外,在这种情况下,它可以提供适当的[审查]工具来取代它们……或与供应商合作,改善问题领域的解决方案。
6.以一种保留影子版本原始收益的方式部署技术
一旦决定正式采用,它就应该把重点放在将影子技术变成一个完全可用和安全的状态。“确保核心用例已经被覆盖,否则就不麻烦了,”VanIperen建议。“一个不正确的工具只会给它带来更多的阴影。”
将阴影工具带到IT保护伞下的最快捷方式是与提供者对话,解释组织的具体需求,然后确保提供者通过测试和试验部署实现其承诺。然而,Codero警告说,我们也必须明白,在企业级版本中,有些影子工具是永远无法提供的。“在传统意义上支持他们几乎是不可能的。”
7.时刻保持警惕
它必须时刻关注新的影子技术,因为早期的员工部署的工具被适当地处理。另一方面,那些发现自己业务被成功的影子IT技术打击的组织应该考虑到,它可能存在很大的差距,因为它有能力快速且成本有效地交付可靠的解决方案。“这意味着缺乏沟通,并且缺乏信任,”Adato解释说。“没有任何个人、团队、部门或企业能够在这些潜在的原因存在的情况下继续成功运作。”
***,它绝不应该屈服和批准一个可疑的影子工具来满足员工的需求。如果有安全漏洞或重大故障,对这一事件负责将最终取决于***信息官和***技术官,即使他们不是那些影子IT供应商的协议执行,为了维护企业的完整性,IT组织需要确保如果使用了影子IT技术,用以符合企业标准。
【编辑推荐】