[[228392]]

幾十年來，CIO和IT經(jīng)理們一直在尋找可靠的方法來尋找和壓制影子IT技術(shù)，他們意識到非法工具會帶來危險，包括企業(yè)安全、合規(guī)和工作流漏洞。

如今，越來越多的IT***開始用新的眼光看待它。他們逐漸了解到，研究秘密練習(xí)可以幫助他們收集線索，洞察最終用戶的需求和偏好，開發(fā)和部署授權(quán)的軟件和服務(wù)，從而提高員工的工作表現(xiàn)和滿意度。這里有7種方法可以讓你在潛伏的影子IT中獲得優(yōu)勢。

1.理解為什么使用影子IT工具

許多員工都精通技術(shù)，能夠熟練地利用設(shè)備、軟件和應(yīng)用程序來提高工作效率。“他們習(xí)慣于在個人生活中使用面向消費者的平臺，并希望將這種輕松和簡單的工作轉(zhuǎn)移到日常工作中，”惠普企業(yè)公司Aruba的副總裁兼***技術(shù)專家Jon Green說。“任何公司授權(quán)的IT系統(tǒng)都會減緩進(jìn)程，或者設(shè)置障礙，讓員工全天候工作，無論他們身在何處，都有可能被繞過。”

基礎(chǔ)設(shè)施管理軟件提供商solarwind的***極客Leon Adatob表示，堅持使用一個或多個影子IT技術(shù)的員工只是想讓他們的工作順利、高效地完成。他解釋說:“如果這個過程團(tuán)隊滿足了他們的需求，沒有人會在一個既定的過程或團(tuán)隊中工作。”“但當(dāng)它不存在的時候，無論是速度還是成本，都是團(tuán)隊和個人開始尋找其他成功途徑的時候。”畢竟，Adato指出，員工主要是評估結(jié)果，而不是他們符合標(biāo)準(zhǔn)的程度，尤其是那些連累他們達(dá)不到目標(biāo)的標(biāo)準(zhǔn)。

2.研究員工如何使用影子IT工具

如何處理影子IT工具***的方法是讓用戶討論技術(shù)交付給他們的價值以及它幫助解決的具體問題。云安全平臺提供商N(yùn)etskope的云策略主管Sean Cordero說:“這與我們IT團(tuán)隊在評估新技術(shù)時的做法類似，只不過新技術(shù)已經(jīng)成為一些業(yè)務(wù)工作流的一部分。”“如果你的團(tuán)隊不能提供所需的功能，那么很可能是時候深入挖掘用例，并找出能夠滿足業(yè)務(wù)需求的解決方案。”

一個***的問題就是員工秘密地使用公共云服務(wù)。員工經(jīng)常共享文件，提供多個用戶文檔訪問，或者簡單地將重要文件備份到Dropbox或谷歌文檔等服務(wù)中。格林警告說:“雖然這些平臺隨處可見，使用起來也很方便，但它們可以將敏感數(shù)據(jù)置于危險之中。”他指出，面向企業(yè)的云平臺提供了更強(qiáng)大的安全性和使用控制，包括對文件進(jìn)行加密的選項，這樣它們才能被有意的各方訪問。格林解釋說:“大型組織也很常見，他們可以實現(xiàn)自己的安全文件共享平臺，或者使用白標(biāo)簽產(chǎn)品來定制那些為他們的業(yè)務(wù)提供***價值的功能。”

3.確定陰影技術(shù)是否構(gòu)成安全威脅

“***步是確定它存在于組織中的什么陰影，”Grant Thornton咨詢服務(wù)實踐的負(fù)責(zé)人羅伊·尼克爾森建議。他說:“實現(xiàn)這一目標(biāo)的方法有很多，其中之一就是監(jiān)控網(wǎng)絡(luò)上的出站流量，因為大部分的陰影工具都涉及到軟件或基礎(chǔ)設(shè)施即服務(wù)能力。”“從那里，公司可以開始通過安全評估工作。”

uniper Networks的Juniper威脅實驗室負(fù)責(zé)人Mounir Hahad建議，企業(yè)應(yīng)該像對待其他類型的軟件和服務(wù)一樣，對IT安全進(jìn)行評估。他說:“影子IT技術(shù)本身并不需要不同的評估程序，但最需要評估的是確保可以觀察和減輕任何安全風(fēng)險。”

在一個公司的網(wǎng)絡(luò)上，未知的用戶和設(shè)備會造成安全漏洞和增加風(fēng)險。“使用網(wǎng)絡(luò)訪問控制系統(tǒng)為每個人提供實時信息，系統(tǒng)和設(shè)備連接到公司基礎(chǔ)設(shè)施是檢測影子IT技術(shù)的一種有效方法，”Green notes說。此外，用戶和實體行為分析(UEBA)工具可以幫助檢測和防止隱藏的網(wǎng)絡(luò)威脅，這些威脅已經(jīng)滲透到外圍防御系統(tǒng)中。他說:“這些工具加在一起，對于保護(hù)企業(yè)資產(chǎn)來說，是一種巨大的雙重打擊。”

4.評估影子技術(shù)作為企業(yè)生產(chǎn)力工具的潛在價值

評估影子工具價值的最簡單和最原始的方法是與用戶討論技術(shù)。紐約地區(qū)獨立的安全架構(gòu)師Pieter VanIperen說:“你的員工知道如何讓你的公司更有效率，他們的工作效率比任何供應(yīng)商、銷售代表、安全專家或基礎(chǔ)設(shè)施團(tuán)隊都要好。”“對待你的員工就像對待你的客戶一樣——給他們一個好的工作經(jīng)驗，他們將會產(chǎn)生有效的工作，并且不需要通過陰影技術(shù)來隱藏。”

如果員工使用的是影子工具，很可能有一個很好的理由。他建議說:“找出為什么這些用戶會轉(zhuǎn)向陰影，以及存在哪些差距。”他說，更好的方法是調(diào)查員工關(guān)于潛在的新工具，讓他們嘗試各種選擇。他補(bǔ)充說:“確保這不是你獲得一個過于復(fù)雜的工具的過程。”

5.與影子技術(shù)的供應(yīng)商合作開發(fā)企業(yè)級版本

基礎(chǔ)設(shè)施和服務(wù)提供商Logicalis的安全解決方案副總裁Ron Temske建議，如果它決定了將影子IT技術(shù)轉(zhuǎn)換為已批準(zhǔn)的業(yè)務(wù)工具的一個可靠的業(yè)務(wù)原因，那么組織應(yīng)該向開發(fā)人員介紹具體的需求和目標(biāo)。他指出:“許多軟件供應(yīng)商有不同版本的產(chǎn)品，或者愿意合作，以確保產(chǎn)品符合組織的要求。”

10年或15年前，大多數(shù)的消費者工具都是在企業(yè)層面的安全與合規(guī)標(biāo)準(zhǔn)中被忽視的。IT軟件和服務(wù)評論網(wǎng)站G2 Crowd的***研究官Michael Fauscette認(rèn)為:“這在今天的大多數(shù)工具中都是不真實的。”當(dāng)然，也有例外，在這種情況下，它可以提供適當(dāng)?shù)腫審查]工具來取代它們……或與供應(yīng)商合作，改善問題領(lǐng)域的解決方案。

6.以一種保留影子版本原始收益的方式部署技術(shù)

一旦決定正式采用，它就應(yīng)該把重點放在將影子技術(shù)變成一個完全可用和安全的狀態(tài)。“確保核心用例已經(jīng)被覆蓋，否則就不麻煩了，”VanIperen建議。“一個不正確的工具只會給它帶來更多的陰影。”

將陰影工具帶到IT保護(hù)傘下的最快捷方式是與提供者對話，解釋組織的具體需求，然后確保提供者通過測試和試驗部署實現(xiàn)其承諾。然而，Codero警告說，我們也必須明白，在企業(yè)級版本中，有些影子工具是永遠(yuǎn)無法提供的。“在傳統(tǒng)意義上支持他們幾乎是不可能的。”

7.時刻保持警惕

它必須時刻關(guān)注新的影子技術(shù)，因為早期的員工部署的工具被適當(dāng)?shù)靥幚怼Ａ硪环矫?，那些發(fā)現(xiàn)自己業(yè)務(wù)被成功的影子IT技術(shù)打擊的組織應(yīng)該考慮到，它可能存在很大的差距，因為它有能力快速且成本有效地交付可靠的解決方案。“這意味著缺乏溝通，并且缺乏信任，”Adato解釋說。“沒有任何個人、團(tuán)隊、部門或企業(yè)能夠在這些潛在的原因存在的情況下繼續(xù)成功運作。”

***，它絕不應(yīng)該屈服和批準(zhǔn)一個可疑的影子工具來滿足員工的需求。如果有安全漏洞或重大故障,對這一事件負(fù)責(zé)將最終取決于***信息官和***技術(shù)官,即使他們不是那些影子IT供應(yīng)商的協(xié)議執(zhí)行,為了維護(hù)企業(yè)的完整性，IT組織需要確保如果使用了影子IT技術(shù)，用以符合企業(yè)標(biāo)準(zhǔn)。 

【編輯推薦】