Practica de a evita aceste limitări și de a accesa soluțiile IT necesare fără ca departamentul IT să fie implicat este numită Shadow IT, Vă propun în cele ce urmează să descoperim împreună care sunt caracteristicile Shadow It și modul în care această practică poate impacta administrarea infrastructurii IT și achizițiile de resurse și aplicații pentru aceasta.
Ce este Shadow IT?
Cea mai des întâlnită definiție este următoarea: utilizarea și gestionarea unor tehnologii, soluții, servicii, proiecte și infrastructuri IT fără aprobarea formală și implicarea directă a departamenetelor IT interne.
Cerințele și politicile organizaționale ce sunt impuse utilizatorilor sunt multiple: politici de conformitate, politici de securitate, limitări de costuri, documentație de specialitate, nivele de SLA (Service Level Agreement) sau asigurarea fiabilității, prin urmare tentația acestora de a ocoli procesul de aprobare și furnizare a unui produs sau resursă duce la utilizarea neautorizată a acestora fără a i se aduce la acest lucru la cunoștința departamentului IT.
Sistemele Shadow IT pot include servicii cloud IaaS, PaaS, SaaS, software preconfigurat sau dispozitive și sisteme hardware, cea mai răspândită formă fiind însă platformele SaaS (Software as a Service), întrucât includ produse multiple ce satisfac nevoile utilizatorilor ce pot fi accesate rapid și convenabil de către aceștia fără ca organizația să identifice achiziția și să detecteze o activitate anormală în rețea, generată de acestea.
O a doua formă des întâlnită este cea a produselor desktop și de comunicație, ce se livrează la pachet cu aplicații preconfigurate, întrucât acestea oferă drepturi locale administrative implicite, chiar dacă pot fi blocate pentru accesul la platforma de mail. Acest lucru permite instalarea facilă a altor aplicații interzise și periculoase pe dispozitivele personale ale utilizatorilor conectate la rețeaua organizației.
De ce folosesc utilizatorii Shadow IT?
În primul rând trebuie conștientizat faptul că Shadow IT este inevitabil, întrucât utilizatorii vor căuta întotdeauna soluții care să le simplifice viața și să le îndeplinească rapid nevoile, cercetările Gartber arătând că în medie 30%-40% din achizițiile făcute de companii necesită cheltuieli IT consistente (studiul Everest Group urcă prcentajul la 50% !).
De regulă organizația contribuie direct la perpetuarea acestor practici întrucât nu oferă suportul necesar pentru tehnologiile necesare utilizatorilor și implementează adesea procese de governance foarte lente și ineficiente pe fluxul de aprobare și furnizare a aplicațiilor. Mediile foarte agile din infrastructurile DevOps se concentrează masiv pe inovare continuă și pe cicluri rapide de dezvoltare și lansare de aplicații, fiind necesare instrumente noi mai eficiente și adaptate nevoilor ciclului de dezvoltare, ceea ce face dificil procesul de identificare, verificare și aprobare a produselor de către departamentele IT.
Riscurile Shadow IT
Shadow IT introduce riscul din umbră (necunoașterea necunoscutului – unknown unknowns). În timp ce angajații sunt capabili să îndeplinească în mod convenabil sarcinile de serviciu utilizând sisteme Shadow IT, tehnologia introduce riscuri, ineficiențe și costuri fără precedent pentru organizație, cum ar fi:
- Pierderea vizibilității și controlului
- Pierderea datelor
- Ineficiența sistemelor
- Costul ridicat suportat de organizație
- Nerespectarea regulilor stricte impuse de organizație
- Extinderea suprafețelor de atac în mod greu de identificat
Sursa bmc.com
Ce putem face?
Pentru a răspunde eficient la fenomenul Shadow IT trebuie implemnetate două strategii eficiente: luarea de măsuri strategice de reducere a riscurilor asociate și stabilirea de politici strategice ce anticipează folosirea Shadow IT. O listă de măsuri active ar putea conține:
- Comunicarea și comunicarea eficientă cu utilizatorii
- Educarea și antrenarea periodică a acestora privind comportamentul față de riscurile existente
- Eficientizarea mecanismelor de governance
- Evaluarea continuă a riscurilor
Toate aceste măsuri pot fi ușor implementate utilizând platforma de securitate Microsoft Defender for Cloud Apps, o demonstrație a platformei putând fi accesată în acest ghid interactiv.
distribuie:
