資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝學
法學什麼是影子 IT?
雲計算使 IT 使用者更容易繞過 IT 採購流程,並獲得完成任務所需的解決方案。IT 監督和嚴格的治理標準通常是為了保護公司,而不是為了解決 IT 使用者在工作中遇到的問題。影子 IT 就是繞過這些限制,在不知會正式 IT 部門的情況下訪問必要的 IT 解決方案的做法。
影子 IT 指的是未經 IT 部門明確許可而使用技術基礎設施、裝置、軟體、應用程式和服務。近年來,隨著基於雲的應用程式和服務的普及,影子 IT 的增長呈指數級。
雖然影子 IT 可以提高員工的工作效率並激發創造力,但它也可能使您的公司面臨資料洩露、合規違規和其他安全問題的風險。
為什麼採用影子 IT?
以下是採用影子 IT 的一些原因:
影子 IT 不可避免
IT 使用者僅僅是為了滿足工作需求,以一種更簡便的方式來使用影子 IT。根據 Gartner 的研究,影子 IT 支出佔組織所有采購的 30%-40%。根據 Everest Group 的分析,這一比例接近 50%。
公司對此問題負有部分責任
未能為 IT 使用者首選的技術提供適當的支援。
治理、審批和供應流程效率低下且緩慢。
特別是對於那些以敏捷或 DevOps 為驅動,專注於持續創新和快速軟體開發和交付週期的公司而言,對新技術的需要可能會在 IT 部門發現、評估和批准這些專案之前,突然出現。
溝通和協調不足
開發人員和 IT 團隊之間的溝通和協調不足,阻礙了批准所需技術的 IT 支援的速度和靈活性。另一方面,不足的安全能力往往會阻礙企業批准新技術,即使他們希望為開發人員提供最先進的可用解決方案。
暗中的 IT 安全威脅和挑戰
最重要的是,如果 IT 部門不知道某個應用程式,就無法對其進行支援或保護。市場研究機構 Gartner 預計,到 2020 年,針對企業的所有成功攻擊中,三分之一將針對其影子 IT 資源。雖然影子 IT 不可避免,但企業可以透過教育終端使用者和實施預防措施來監控和控制未經批准的應用程式,從而降低風險。
雖然並非所有影子 IT 方面都具有內在危害,但某些功能(例如檔案共享/儲存和協作(例如 Google Docs))可能會導致嚴重的資料洩露。這種風險不僅限於應用程式——根據 RSA 的調查,63% 的在家工作的員工將業務文件傳輸到其個人電子郵件,將資料暴露在未經 IT 管制的網路中。除了安全問題外,如果各個部門購買重複的解決方案而沒有意識到這一點,影子 IT 還會導致資金損失。
影子 IT 的各個部分包含什麼?
影子 IT 指的是任何未由 IT 部門處理的 IT 相關操作和採購。這些採購可能包括:
硬體,例如伺服器、PC、筆記型電腦、平板電腦和手機。
已打包銷售的軟體。
雲服務,例如軟體即服務 (SaaS)、基礎設施即服務 (IaaS) 和平臺即服務 (PaaS)。
影子 IT 的風險
即使影子 IT 具有多種優勢,但如果管理不善,與其相關的風險可能會抵消部分優勢。以下是一些風險:
資料不一致和資料丟失
合規性問題
停機時間會減少,所需的安全措施也會減少。
資料丟失和資料不一致
如果您使用影子 IT,您可能會放棄對資料管理方式的一些控制。這對於基於雲的應用程式和物理位置使用的應用程式都適用。在決定如何管理和保護業務資料時,個人使用者可能會犯嚴重的錯誤。例如,當所有云安全都由 IT 團隊管理時,資料的輸入和輸出可能會受到嚴格的監管。
在使用影子 IT 時,個人員工可能需要負責提供有關 IT 安全或生產力等關鍵問題的統計資料。這可能會導致差異,從而難以跟蹤和響應資料,而如果由 IT 團隊負責,這些資料本來很容易獲得並定期提供。
合規性問題
合規性環境容易發生意外甚至突然的變化。由於影子 IT 將權力賦予個人員工,而他們經常忙於或關注其他重要任務,因此合規性問題可能會被忽視。新的法律法規可能會規定如何遵守公司範圍內的標準,以及政府官員釋出的指示,這些都可能被那些忙於實現其他目標的人所忽略。
停機時間減少和安全措施減少
如果影子 IT 出現問題,停機時間可能會因使用者缺乏經驗而加劇。當員工遇到問題時,解決問題可能需要數小時。另一方面,經驗豐富的 IT 專業人員只需幾分鐘即可解決此類問題。
如何降低與影子 IT 相關的風險?
以下是一些步驟,可以減少對(以及與)影子 IT 的需求和相關風險:
協作和溝通
瞭解 IT 使用者的需求。消除障礙。促進 IT 部門和 IT 使用者之間快速、便捷和高效的溝通,以便更好地瞭解終端使用者的需求、體驗以及對現有和新技術的評價。
教育和培訓員工
告知使用者影子 IT 的風險,以及公司如何幫助他們滿足其 IT 需求,而無需違反常規治理標準。
具有安全意識並認同公司 IT 安全願景的員工,更有可能瞭解影子 IT 的風險,並且更有可能找到可接受的解決方案來滿足他們的技術需求。
簡化治理流程
制定一個 IT 治理系統,透過允許快速發現、審查、訪問和為 IT 使用者提供新技術來鼓勵創新。制定以使用者為中心並預測其需求的法規。在政策執行和響應終端使用者 IT 需求的能力之間取得平衡。
查詢有關影子 IT 的更多資訊
使用技術解決方案監控異常網路活動、意外交易、資料和工作負載傳輸、IT 使用趨勢以及其他影子 IT 實踐的跡象。
主動發現有助於管理影子 IT 威脅
您可以透過檢視內部網路過濾日誌和配置管理資料庫來查詢某些影子 IT 例項。與會計部門合作以識別異常的 IT 相關採購也有助於發現影子 IT。
待評估和減輕的風險
並非所有影子 IT 技術都同樣危險。持續評估工作場所技術可以幫助企業根據每種影子 IT 犯罪的風險敏感性制定風險緩解措施。
如果您使用影子 IT,您可能會放棄對資料管理方式的一些控制。這對於基於雲的應用程式和在物理位置使用的應用程式都是如此。在決定如何管理和保護業務資料時,單個使用者可能會犯嚴重的錯誤。例如,當所有云安全都由 IT 團隊管理時,資料的輸入和輸出可能會受到嚴格監管。
瀏覽量:237
